Cette page explique comment afficher et gérer les résultats de VM Threat Detection. Elle vous montre également comment activer ou désactiver le service et ses modules.
Présentation
Virtual Machine Threat Detection, un service intégré à Security Command Center Premium, permet de détecter les menaces via une instrumentation de niveau hyperviseur et une analyse des disques persistants. VM Threat Detection détecte les applications potentiellement malveillantes, telles que les logiciels de minage de cryptomonnaie, les rootkits en mode noyau et les logiciels malveillants exécutés dans des environnements cloud compromis.
VM Threat Detection fait partie de la suite de détection des menaces de Security Command Center Premium. Il est conçu pour compléter les fonctionnalités existantes d'Event Threat Detection et de Container Threat Detection.
Pour en savoir plus, consultez la présentation de VM Threat Detection.
Coûts
Une fois que vous êtes inscrit à Security Command Center Premium, l'utilisation de VM Threat Detection n'entraîne aucun coût supplémentaire.
Avant de commencer
Pour utiliser cette fonctionnalité, vous devez être abonné à Security Command Center Premium.
En outre, vous devez disposer des rôles IAM (Identity and Access Management) appropriés pour afficher ou modifier les résultats, et pour modifier les ressources Google Cloud. Si vous rencontrez des erreurs d'accès dans Security Command Center, demandez de l'aide à votre administrateur. Pour en savoir plus sur les rôles, consultez la page Contrôle des accès.
Tester VM Threat Detection
Pour tester la détection du minage de cryptomonnaie par VM Threat Detection, vous pouvez exécuter une application de minage de cryptomonnaie sur votre VM. Pour obtenir la liste des noms binaires et des règles YARA qui déclenchent des résultats, consultez la section Noms de logiciels et règles YARA. Si vous installez et testez des applications de minage, nous vous recommandons de n'exécuter les applications que dans un environnement de test isolé, de surveiller attentivement leur utilisation et de les supprimer complètement après les tests.
Pour tester la détection des logiciels malveillants dans VM Threat Detection, vous pouvez télécharger des applications malveillantes sur votre VM. Si vous téléchargez un logiciel malveillant, nous vous recommandons de le faire dans un environnement de test isolé et de les supprimer complètement après les tests.
Examiner les résultats dans la console Google Cloud
Pour examiner les résultats de VM Threat Detection dans la console Google Cloud, procédez comme suit:
Accédez à la page Résultats de Security Command Center dans Google Cloud Console.
Si nécessaire, sélectionnez votre projet ou votre organisation Google Cloud.
Dans la section Filtres rapides de la sous-section Nom à afficher de la source, sélectionnez Virtual Machine Threat Detection.
Si vous ne voyez pas l'option Virtual Machine Threat Detection, cliquez sur Afficher plus. Dans la boîte de dialogue, recherchez Virtual Machine Threat Detection.
Pour afficher les détails d'un résultat spécifique, cliquez sur le nom du résultat sous Catégorie. Le panneau de détails du résultat s'ouvre et affiche l'onglet Summary (Résumé).
Dans l'onglet Summary (Résumé), examinez les informations relatives au résultat, y compris celles sur le binaire détecté, la ressource affectée, etc.
Dans le panneau de détails, cliquez sur l'onglet JSON pour afficher le fichier JSON complet du résultat.
Pour plus d'informations sur la manière de répondre à chaque résultat obtenu par VM Threat Detection, consultez la page Réponse de VM Threat Detection.
Pour obtenir la liste des résultats de VM Threat Detection, consultez la section Résultats.
Niveau de gravité
Les résultats de VM Threat Detection sont associés à une gravité élevée, moyenne ou faible en fonction du degré de confiance de la classification des menaces.
Détections combinées
Les détections combinées se produisent lorsque plusieurs catégories de résultats sont détectées dans un jour. Une ou plusieurs applications malveillantes peuvent être à l'origine des résultats. Par exemple, une même application peut déclencher simultanément les résultats Execution: Cryptocurrency Mining YARA Rule et Execution: Cryptocurrency
Mining Hash Match. Toutefois, toutes les menaces détectées à partir d'une source unique au cours d'une même journée sont regroupées dans un seul résultat de détection combinée. Dans les jours suivants, si davantage de menaces sont détectées, même les mêmes, elles sont associées à de nouveaux résultats.
Pour obtenir un exemple de résultat de détection combinée, consultez la section Exemples de formats de résultats.
Exemples de formats de résultat
Ces exemples de sortie JSON contiennent des champs communs aux résultats de VM Threat Detection. Chaque exemple ne montre que les champs pertinents pour le type de résultat. Il ne fournit pas une liste exhaustive de champs.
Vous pouvez exporter les résultats via le tableau de bord Security Command Center ou répertorier les résultats via l'API Security Command Center.
Pour afficher des exemples de résultats, développez un ou plusieurs des nœuds suivants. Pour en savoir plus sur chaque champ du résultat, consultez Finding.
Les valeurs des champs, telles que les noms de règles YARA, utilisées par VM Threat Detection lors d'une phase preview peuvent changer lorsque la fonctionnalité atteint la disponibilité générale.
Defense Evasion: RootkitAperçu
Cet exemple de sortie montre le résultat d'un rootkit en mode noyau connu: Diamorphine.
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Rootkit",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {
"name": "Diamorphine",
"unexpected_kernel_code_pages": true,
"unexpected_system_call_handler": true
},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "HIGH",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Defense Evasion: Unexpected ftrace handlerAperçu
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Unexpected ftrace handler",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "MEDIUM",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Defense Evasion: Unexpected interrupt handlerAperçu
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Unexpected interrupt handler",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "MEDIUM",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Defense Evasion: Unexpected kernel code modificationAperçu
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Unexpected kernel code modification",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "MEDIUM",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Defense Evasion: Unexpected kernel modulesAperçu
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Unexpected kernel modules",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "MEDIUM",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Defense Evasion: Unexpected kernel read-only data modificationAperçu
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Unexpected kernel read-only data modification",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "MEDIUM",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Defense Evasion: Unexpected kprobe handlerAperçu
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Unexpected kprobe handler",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "MEDIUM",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Defense Evasion: Unexpected processes in runqueueAperçu
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Unexpected processes in runqueue",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "MEDIUM",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Defense Evasion: Unexpected system call handlerAperçu
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Unexpected system call handler",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "MEDIUM",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Execution: Cryptocurrency Mining Combined
Detection
Cet exemple de sortie montre une menace qui a été détectée par les modules CRYPTOMINING_HASH et CRYPTOMINING_YARA.
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Execution: Cryptocurrency Mining Combined Detection",
"createTime": "2023-01-05T01:40:48.994Z",
"database": {},
"eventTime": "2023-01-05T01:39:36.876Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {
"signatures": [
{
"yaraRuleSignature": {
"yaraRule": "YARA_RULE1"
}
},
{
"yaraRuleSignature": {
"yaraRule": "YARA_RULE9"
}
},
{
"yaraRuleSignature": {
"yaraRule": "YARA_RULE10"
}
},
{
"yaraRuleSignature": {
"yaraRule": "YARA_RULE25"
}
},
{
"memoryHashSignature": {
"binaryFamily": "XMRig",
"detections": [
{
"binary": "linux-x86-64_xmrig_6.12.2",
"percentPagesMatched": 1
}
]
}
}
]
},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [
{
"binary": {
"path": "BINARY_PATH"
},
"script": {},
"args": [
"./miner",
""
],
"pid": "123",
"parentPid": "456",
"name": "miner"
}
],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "HIGH",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"project_display_name": "DISPLAY_NAME",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Execution: Cryptocurrency Mining Hash Match
Detection
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Execution: Cryptocurrency Mining Hash Match",
"createTime": "2023-01-05T01:40:48.994Z",
"database": {},
"eventTime": "2023-01-05T01:39:36.876Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {
"signatures": [
{
"memoryHashSignature": {
"binaryFamily": "XMRig",
"detections": [
{
"binary": "linux-x86-64_xmrig_6.12.2",
"percentPagesMatched": 1
}
]
}
}
]
},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [
{
"binary": {
"path": "BINARY_PATH"
},
"script": {},
"args": [
"./miner",
""
],
"pid": "123",
"parentPid": "456",
"name": "miner"
}
],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "HIGH",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"project_display_name": "DISPLAY_NAME",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Execution: Cryptocurrency Mining YARA Rule
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Execution: Cryptocurrency Mining YARA Rule",
"createTime": "2023-01-05T00:37:38.450Z",
"database": {},
"eventTime": "2023-01-05T01:12:48.828Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {
"signatures": [
{
"yaraRuleSignature": {
"yaraRule": "YARA_RULE9"
}
},
{
"yaraRuleSignature": {
"yaraRule": "YARA_RULE10"
}
},
{
"yaraRuleSignature": {
"yaraRule": "YARA_RULE25"
}
}
]
},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [
{
"binary": {
"path": "BINARY_PATH"
},
"script": {},
"args": [
"./miner",
""
],
"pid": "123",
"parentPid": "456",
"name": "miner"
}
],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "HIGH",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"project_display_name": "DISPLAY_NAME",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Malware: Malicious file on disk (YARA)Aperçu
{
"findings": {
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Malware: Malicious file on disk (YARA)",
"createTime": "2023-01-05T00:37:38.450Z",
"eventTime": "2023-01-05T01:12:48.828Z",
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {
"signatures": [
{
"yaraRuleSignature": {
"yaraRule": "M_Backdoor_REDSONJA_1"
},
"signatureType": "SIGNATURE_TYPE_FILE",
},
{
"yaraRuleSignature": {
"yaraRule": "M_Backdoor_REDSONJA_2"
},
"signatureType": "SIGNATURE_TYPE_FILE",
}
]
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"files": [
{
"diskPath": {
"partition_uuid": "b411dc99-f0a0-4c87-9e05-184977be8539",
"relative_path": "RELATIVE_PATH"
},
"size": "21238",
"sha256": "65d860160bdc9b98abf72407e14ca40b609417de7939897d3b58d55787aaef69",
"hashedSize": "21238"
}
],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "HIGH",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"project_display_name": "DISPLAY_NAME",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Modifier l'état des résultats
Lorsque vous résolvez les menaces identifiées par VM Threat Detection, le service ne définit pas automatiquement l'état d'un résultat sur Inactif dans les analyses suivantes. En raison de la nature de notre domaine de gestion des menaces, VM Threat Detection ne peut pas déterminer si une menace a été atténuée ou si elle a changé pour éviter la détection.
Lorsque vos équipes de sécurité considèrent que la menace est minimale, elles peuvent effectuer les étapes suivantes pour définir les résultats à l'état inactif.
Accédez à la page Résultats de Security Command Center dans la console Google Cloud.
À côté de Afficher par, cliquez sur Type de source.
Dans la liste Type de source, sélectionnez Virtual Machine Threat Detection. Un tableau présente les résultats correspondant au type de source que vous avez sélectionné.
Cochez la case à côté des résultats résolus.
Cliquez sur Modifier l'état de l'activité.
Cliquez sur Inactif.
Activer ou désactiver VM Threat Detection
VM Threat Detection est activé par défaut pour tous les clients inscrits à Security Command Center Premium après le 15 juillet 2022, date à laquelle ce service est devenu en disponibilité générale. Si nécessaire, vous pouvez le désactiver ou le réactiver manuellement pour votre projet ou votre organisation.
Lorsque vous activez VM Threat Detection sur une organisation ou un projet, le service analyse automatiquement toutes les ressources compatibles de cette organisation ou ce projet. À l'inverse, lorsque vous désactivez VM Threat Detection sur une organisation ou un projet, le service arrête l'analyse de toutes les ressources compatibles qu'il contient.
Pour activer ou désactiver VM Threat Detection, procédez comme suit:
Console
Dans la console Google Cloud, vous pouvez activer ou désactiver VM Threat Detection via l'onglet Services de la page Paramètres.
Pour en savoir plus, consultez Activer ou désactiver un service intégré.
cURL
envoyez une requête PATCH :
curl -X PATCH -H "Authorization: Bearer \"$(gcloud auth print-access-token)\"" \
-H "Content-Type: application/json; charset=utf-8" \
-H "X-Goog-User-Project: X_GOOG_USER_PROJECT" \
https://securitycenter.googleapis.com/v1beta2/RESOURCE/RESOURCE_ID/virtualMachineThreatDetectionSettings \
-d '{"serviceEnablementState": "NEW_STATE"}'
Remplacez les éléments suivants :
- X_GOOG_USER_PROJECT : projet à facturer pour les frais d'accès associés aux analyses de VM Threat Detection.
- RESOURCE : type de ressource à analyser (
organizationsouprojects). - RESOURCE_ID: identifiant de l'organisation ou du projet pour lequel vous souhaitez activer ou désactiver VM Threat Detection.
- NEW_STATE: état souhaité pour VM Threat Detection (
ENABLEDouDISABLED).
gcloud
Exécutez la commande ci-dessous.
gcloud alpha scc settings services ACTION --RESOURCE RESOURCE_ID \
--service VIRTUAL_MACHINE_THREAT_DETECTION
Remplacez les éléments suivants :
- ACTION: action que vous souhaitez effectuer sur le service VM Threat Detection (
enableoudisable). - RESOURCE: type de ressource sur lequel vous souhaitez activer ou désactiver VM Threat Detection (
organizationouproject). - RESOURCE_ID: identifiant de l'organisation ou du projet pour lequel vous souhaitez activer ou désactiver VM Threat Detection.
Activer ou désactiver un module VM Threat Detection
Pour activer ou désactiver un détecteur individuel des menaces de VM, également appelé module, procédez comme suit : Un délai d'une heure peut être nécessaire pour que les modifications soient prises en compte.
Pour en savoir plus sur tous les résultats de menaces liés à VM Threat Detection et sur les modules qui les génèrent, consultez le tableau Résultats des menaces.
Console
Consultez la section Activer ou désactiver un module.
cURL
Pour activer ou désactiver un module VM Threat Detection dans votre organisation ou votre projet, envoyez une requête PATCH:
curl -X PATCH -H "Authorization: Bearer \"$(gcloud auth print-access-token)\"" \
-H "Content-Type: application/json; charset=utf-8" \
-H "X-Goog-User-Project: X_GOOG_USER_PROJECT" \
https://securitycenter.googleapis.com/v1beta2/RESOURCE/RESOURCE_ID/virtualMachineThreatDetectionSettings \
-d '{"modules": {"MODULE": {"module_enablement_state": "NEW_STATE"}}}'
Remplacez les éléments suivants :
- X_GOOG_USER_PROJECT : projet facturé pour les frais d'accès associés aux analyses de VM Threat Detection.
- RESOURCE: type de ressource sur lequel vous souhaitez activer ou désactiver le module (
organizationsouprojects). - RESOURCE_ID: ID de l'organisation ou du projet sur lequel vous souhaitez activer ou désactiver le module.
- MODULE: module que vous souhaitez activer ou désactiver (par exemple,
CRYPTOMINING_HASH). - NEW_STATE: état dans lequel se trouve le module (
ENABLEDouDISABLED).
gcloud
Pour activer ou désactiver un module VM Threat Detection dans votre organisation ou votre projet, exécutez la commande suivante:
gcloud alpha scc settings services modules ACTION --RESOURCE RESOURCE_ID \
--service VIRTUAL_MACHINE_THREAT_DETECTION --module MODULE
Remplacez les éléments suivants :
- ACTION: action que vous souhaitez effectuer sur le module (
enableoudisable). - RESOURCE: type de ressource sur lequel vous souhaitez activer ou désactiver le module (
organizationouproject). - RESOURCE_ID: ID de l'organisation ou du projet sur lequel vous souhaitez activer ou désactiver le module.
- MODULE: module que vous souhaitez activer ou désactiver (par exemple,
CRYPTOMINING_HASH).
Afficher les paramètres des modules de détection des menaces de VM
Pour en savoir plus sur tous les résultats de menaces liés à VM Threat Detection et sur les modules qui les génèrent, consultez le tableau Résultats des menaces.
Console
Consultez la section Afficher les modules d'un service.
cURL
envoyez une requête GET :
curl -X GET -H "Authorization: Bearer \"$(gcloud auth print-access-token)\"" \
-H "Content-Type: application/json; charset=utf-8" \
-H "X-Goog-User-Project: X_GOOG_USER_PROJECT" \
https://securitycenter.googleapis.com/v1beta2/RESOURCE/RESOURCE_ID/virtualMachineThreatDetectionSettings:calculate
Remplacez les éléments suivants :
- X_GOOG_USER_PROJECT : projet facturé pour les frais d'accès associés aux analyses de VM Threat Detection.
- RESOURCE: type de ressource pour laquelle vous souhaitez afficher les paramètres du module.
- RESOURCE_ID: ID de l'organisation ou du projet pour lequel vous souhaitez afficher les paramètres du module.
gcloud
Pour afficher les paramètres d'un seul module, exécutez la commande suivante:
gcloud alpha scc settings services modules describe --RESOURCE RESOURCE_ID \
--service VIRTUAL_MACHINE_THREAT_DETECTION --module MODULE
Pour afficher les paramètres de tous les modules, exécutez la commande suivante:
gcloud alpha scc settings services describe --RESOURCE RESOURCE_ID \
--service VIRTUAL_MACHINE_THREAT_DETECTION
Remplacez les éléments suivants :
- RESOURCE: type de ressource pour laquelle vous souhaitez afficher les paramètres du module (
organizationouproject). - RESOURCE_ID: ID de l'organisation ou du projet pour lequel vous souhaitez afficher les paramètres du module.
- MODULE: module que vous souhaitez afficher (par exemple,
CRYPTOMINING_HASH).
Noms de logiciels et règles YARA pour la détection du minage de cryptomonnaie
Les listes suivantes incluent les noms des binaires et des règles YARA qui déclenchent les résultats de minage de cryptomonnaie. Pour afficher les listes, développez les nœuds.
Execution: Cryptocurrency Mining Hash Match
- Arionum CPU miner : logiciel de minage pour la cryptomonnaie Arionum
- Avermore : logiciel de minage pour les cryptomonnaies basées sur scrypt
- Beam CUDA miner : logiciel de minage pour les cryptomonnaies basées sur Equihash
- Beam OpenCL miner : logiciel de minage pour les cryptomonnaies basées sur Equihash
- BFGMiner : logiciel de minage basé sur ASIC/FPGA pour Bitcoin
- BMiner : logiciel de minage pour diverses cryptomonnaies
- Cast XMR : logiciel de minage pour les cryptomonnaies basées sur CryptoNight
- ccminer : logiciel de minage basé sur CUDA
- cgminer : logiciel de minage basé sur ASIC/FPGA pour Bitcoin
- Claymore's miner : logiciel de minage basé sur le GPU pour diverses cryptomonnaies
- CPUMiner : famille de logiciels de minage basés sur processeur
- CryptoDredge : famille de logiciels de minage pour CryptoDredge
- CryptoGoblin : logiciel de minage pour les cryptomonnaies basées sur CryptoNight
- DamoMiner : logiciel de minage basé sur le GPU pour Ethereum et d'autres cryptomonnaies
- DigitsMiner : logiciel de minage pour Digits
- EasyMiner : logiciels de minage pour Bitcoin et d'autres cryptomonnaies
- Ethminer : logiciel de minage pour Ethereum et d'autres cryptomonnaies
- EWBF : logiciel de minage pour les cryptomonnaies basés sur Equihash
- FinMiner : logiciel de minage pour les cryptomonnaies basées sur Ethash et CryptoNight
- Funakoshi Miner : logiciel de minage pour les cryptomonnaies Bitcoin-Gold
- Geth : logiciel de minage pour Ethereum
- GMiner : logiciel de minage pour diverses cryptomonnaies
- gominer : logiciel de minage pour Decred
- GrinGoldMiner : logiciel de minage pour Grin
- Hush : logiciel de minage pour les cryptomonnaies basés sur Zcash
- IxiMiner : logiciel de minage pour Ixian
- kawpowminer : logiciel de minage pour Ravencoin
- Komodo : famille de logiciels de minage pour Komodo
- lolMiner : logiciel de minage pour diverses cryptomonnaies
- lukMiner : logiciel de minage pour diverses cryptomonnaies
- MinerGate : logiciel de minage pour diverses cryptomonnaies
- miniZ : logiciel de minage pour les cryptomonnaies basées sur Equihash
- Mirai : logiciel malveillant pouvant servir à miner des cryptomonnaies
- MultiMiner : logiciel de minage pour diverses cryptomonnaies
- nanominer : logiciel de minage pour diverses cryptomonnaies
- NBMiner : logiciel de minage pour diverses cryptomonnaies
- Nevermore : logiciel de minage pour diverses cryptomonnaies
- nheqminer : logiciel de minage pour NiceHash
- NinjaRig : logiciel de minage pour les cryptomonnaies basées sur Argon2
- NodeCore PoW CUDA Miner : logiciel de minage pour VeriBlock
- NoncerPro : logiciel de minage pour Nimiq
- Optiminer/Equihash : logiciel de minage pour les cryptomonnaies basées sur Equihash
- PascalCoin : famille de logiciels de minage pour PascalCoin
- PhoenixMiner : logiciel de minage pour Ethereum
- Pooler CPU Miner : logiciel de minage pour Litecoin et Bitcoin
- ProgPoW Miner : logiciel de minage pour Ethereum et d'autres cryptomonnaies
- rhminer : logiciel de minage pour PascalCoin
- sgminer : logiciel de minage pour les cryptomonnaies basées sur scrypt
- simplecoin : famille de logiciels de minage pour SimpleCoin basé sur scrypt
- Skypool Nimiq Miner : logiciel de minage pour Nimiq
- SwapReferenceMiner : logiciel de minage pour Grin
- Team Red Miner : logiciel de minage basé sur AMD pour diverses cryptomonnaies
- T-Rex : logiciel de minage pour diverses cryptomonnaies
- TT-Miner : logiciel de minage pour diverses cryptomonnaies
- Ubqminer : logiciel de minage pour les cryptomonnaies basées sur Ubqhash
- VersusCoin : logiciel de minage pour VersusCoin
- Mineminer : logiciel de minage pour les cryptomonnaies basées sur Argon2
- webchain-miner : logiciel de minage pour MintMe
- WildRig : logiciel de minage pour diverses cryptomonnaies
- XCASH_ALL_Miner : logiciel de minage pour XCASH
- xFash : logiciel de minage pour MinerGate
- XLArig : logiciel de minage pour les cryptomonnaies basées sur CryptoNight
- XMRig : logiciel de minage pour diverses cryptomonnaies
- Xmr-Stak : logiciel de minage pour les cryptomonnaies basées sur CryptoNight
- XMR-Stak TurleCoin : logiciel de minage pour les cryptomonnaies basées sur CryptoNight
- Xtl-Stak : logiciel de minage pour les cryptomonnaies basées sur CryptoNight
- Yam Miner : logiciel de minage pour MinerGate
- YCash : logiciel de minage pour YCash
- ZCoin : logiciel de minage pour ZCoin/Fire
- Zealot/Enemy : logiciel de minage pour diverses cryptomonnaies
- Signal de minage de cryptomonnaie1
1 Ce nom de menace générique indique qu'un logiciel de minage de cryptomonnaie inconnu peut fonctionner dans la VM, mais VM Threat Detection ne dispose pas d'informations spécifiques sur celui-ci.
Execution: Cryptocurrency Mining YARA Rule
- YARA_RULE1 : correspond au logiciel de minage pour Monero.
- YARA_RULE9 : correspond au logiciel de minage qui utilise l'algorithme de chiffrement Blake2 et AES.
- YARA_RULE10 : correspond au logiciel de minage qui utilise la routine de démonstration de faisabilité CryptoNight.
- YARA_RULE15 : correspond au logiciel de minage pour NBMiner.
- YARA_RULE17 : correspond au logiciel de minage qui utilise la routine de démonstration de faisabilité Scrypt.
- YARA_RULE18 : correspond au logiciel de minage qui utilise la routine de démonstration de faisabilité Scrypt.
- YARA_RULE19 : correspond au logiciel de minage pour BFGMiner.
- YARA_RULE24 : correspond au logiciel de minage pour XMR-Stak.
- YARA_RULE25 : correspond au logiciel de minage pour XMRig.
- DYNAMIC_YARA_RULE_BFGMINER_2 : correspond au logiciel de minage pour BFGMiner.
Étapes suivantes
- Apprenez-en davantage sur VM Threat Detection.
- Découvrez comment examiner les résultats de VM Threat Detection.