Auf dieser Seite wird beschrieben, wie Sie VM Threat Detection-Ergebnisse ansehen und verwalten. Außerdem zeigt Ihnen, wie Sie den Dienst und die zugehörigen Module aktivieren oder deaktivieren.
Übersicht
Virtual Machine Threat Detection, ein integrierter Dienst von Security Command Center Premium, Bedrohungserkennung durch Instrumentierung auf Hypervisorebene und nichtflüchtigen Speicher Analyse. VM Threat Detection erkennt potenziell schädliche Anwendungen wie Kryptomining-Software, Rootkits im Kernelmodus und Malware, kompromittierten Cloud-Umgebungen.
VM Threat Detection ist Teil der Bedrohungserkennungs-Suite der Premium-Version von Security Command Center und ergänzt die vorhandenen Funktionen von Event Threat Detection und Container Threat Detection.
Weitere Informationen finden Sie unter VM Bedrohungserkennung – Übersicht.
Kosten
Nach der Registrierung für die Premium-Version des Security Command Center entstehen keine zusätzlichen Kosten für die Verwendung von VM Threat Detection.
Hinweis
Um diese Funktion verwenden zu können, müssen Sie für Security Command Center Premium registriert sein.
Darüber hinaus benötigen Sie ausreichende IAM-Rollen (Identity and Access Management), um Ergebnisse aufzurufen oder zu bearbeiten und Google Cloud-Ressourcen zu ändern. Wenn im Security Command Center Zugriffsfehler auftreten, wenden Sie sich an Ihren Administrator. Weitere Informationen zu Rollen finden Sie unter Zugriffssteuerung.
VM Threat Detection testen
Um die Kryptomining-Erkennung von VM Threat Detection zu testen, können Sie einen für das Mining von Kryptowährungen auf der VM verwenden. Für eine Liste von Binärnamen und YARA-Regeln, die Ergebnisse auslösen, siehe Software-Namen und YARA Regeln. Wenn Sie Mining-Anwendungen installieren und testen, sollten Sie Anwendungen nur in einer isolierten Testumgebung ausführen, ihre Verwendung genau überwachen und nach dem Testen vollständig entfernen.
Wenn Sie die Malwareerkennung von VM Threat Detection testen möchten, können Sie Malware herunterladen auf Ihrer VM ausgeführt werden. Wenn Sie Malware herunterladen, empfehlen wir Ihnen, dies zu tun isolierten Testumgebung in einer isolierten Testumgebung testen und entfernen, Tests durchführen.
Ergebnisse in der Google Cloud Console prüfen
So prüfen Sie die Ergebnisse von VM Threat Detection in der Google Cloud Console: Gehen Sie so vor:
Wechseln Sie in der Google Cloud Console zur Seite Ergebnisse des Security Command Center.
Wählen Sie gegebenenfalls Ihr Google Cloud-Projekt oder Ihre Organisation aus.
Wählen Sie im Abschnitt Schnellfilter im Unterbereich Anzeigename der Quelle die Option Bedrohungserkennung für virtuelle Maschinen aus.
Wenn Virtual Machine Threat Detection nicht angezeigt wird, klicken Sie auf Mehr anzeigen Suchen Sie im Dialogfeld nach Bedrohungserkennung für virtuelle Maschinen.
Klicken Sie auf den Namen des Ergebnisses unter Kategorie, um Details zu einem bestimmten Ergebnis aufzurufen. Der Detailbereich für das Ergebnis wird geöffnet und angezeigt auf dem Tab Zusammenfassung.
Sehen Sie sich auf dem Tab Zusammenfassung die Informationen zum Ergebnis an. einschließlich Informationen über die erkannte Binärdatei, und mehr.
Klicken Sie im Detailbereich auf den Tab JSON, um die vollständige JSON-Datei aufzurufen. für das Ergebnis.
Detailliertere Informationen dazu, wie Sie auf die einzelnen VM Threat Detection-Ergebnis, siehe VM Threat Detection-Antwort
Eine Liste der Ergebnisse von VM Threat Detection finden Sie unter Ergebnisse.
Schweregrad
VM Threat Detection-Ergebnissen werden die Stufen Hoch, Mittel und Niedrig zugewiesen. basierend auf der Konfidenz der Bedrohungsklassifizierung.
Kombinierte Erkennungen
Kombinierte Erkennungen treten auf, wenn mehrere Ergebniskategorien innerhalb eines Tages erkannt werden. Die Ergebnisse können von einer oder mehreren schädlichen Anwendungen verursacht worden sein. Beispiel: Eine einzelne Anwendung kann gleichzeitig Execution: Cryptocurrency Mining YARA Rule- und Execution: Cryptocurrency
Mining Hash Match-Ergebnisse auslösen. Es werden aber alle Bedrohungen, die von einer einzigen Quelle innerhalb desselben Tages erkannt wurden, zu einem Ergebnis, der kombinierten Erkennung, zusammengefasst. Wenn in den folgenden Tagen weitere Bedrohungen gefunden werden, werden diese mit neuen Ergebnissen verknüpft, auch falls es sich um identische Bedrohungen handelt.
Ein Beispiel für ein kombiniertes Erkennungsergebnis finden Sie unter Beispiel für ein Ergebnis Formate
Beispiele für Ergebnisformate
Diese JSON-Ausgabebeispiele enthalten Felder, die für VM Threat Detection üblich sind Ergebnisse. In jedem Beispiel werden nur die Felder angezeigt, die für den Ergebnistyp relevant sind. sie keine vollständige Liste der .
Sie können Ergebnisse über das Security Command Center exportieren. Dashboard oder Liste über die Security Command Center API.
Maximieren Sie einen oder mehrere der folgenden Knoten, um die Beispielergebnisse zu sehen. Für
Informationen zu den einzelnen Feldern des Ergebnisses finden Sie
Finding.
Defense Evasion: RootkitVorschau
Dieses Ausgabebeispiel zeigt ein Ergebnis eines bekannten Kernelmodus-Rootkits: Diamorphin.
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Rootkit",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {
"name": "Diamorphine",
"unexpected_kernel_code_pages": true,
"unexpected_system_call_handler": true
},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "HIGH",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Defense Evasion: Unexpected ftrace handlerVorschau
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Unexpected ftrace handler",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "MEDIUM",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Defense Evasion: Unexpected interrupt handlerVorschau
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Unexpected interrupt handler",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "MEDIUM",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Defense Evasion: Unexpected kernel code modificationVorschau
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Unexpected kernel code modification",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "MEDIUM",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Defense Evasion: Unexpected kernel modulesVorschau
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Unexpected kernel modules",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "MEDIUM",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Defense Evasion: Unexpected kernel read-only data modificationVorschau
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Unexpected kernel read-only data modification",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "MEDIUM",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Defense Evasion: Unexpected kprobe handlerVorschau
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Unexpected kprobe handler",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "MEDIUM",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Defense Evasion: Unexpected processes in runqueueVorschau
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Unexpected processes in runqueue",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "MEDIUM",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Defense Evasion: Unexpected system call handlerVorschau
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Unexpected system call handler",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "MEDIUM",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Execution: Cryptocurrency Mining Combined
Detection
Dieses Ausgabebeispiel zeigt eine Bedrohung, die sowohl vom
Die Module CRYPTOMINING_HASH und CRYPTOMINING_YARA.
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Execution: Cryptocurrency Mining Combined Detection",
"createTime": "2023-01-05T01:40:48.994Z",
"database": {},
"eventTime": "2023-01-05T01:39:36.876Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {
"signatures": [
{
"yaraRuleSignature": {
"yaraRule": "YARA_RULE1"
}
},
{
"yaraRuleSignature": {
"yaraRule": "YARA_RULE9"
}
},
{
"yaraRuleSignature": {
"yaraRule": "YARA_RULE10"
}
},
{
"yaraRuleSignature": {
"yaraRule": "YARA_RULE25"
}
},
{
"memoryHashSignature": {
"binaryFamily": "XMRig",
"detections": [
{
"binary": "linux-x86-64_xmrig_6.12.2",
"percentPagesMatched": 1
}
]
}
}
]
},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [
{
"binary": {
"path": "BINARY_PATH"
},
"script": {},
"args": [
"./miner",
""
],
"pid": "123",
"parentPid": "456",
"name": "miner"
}
],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "HIGH",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"project_display_name": "DISPLAY_NAME",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Execution: Cryptocurrency Mining Hash Match
Detection
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Execution: Cryptocurrency Mining Hash Match",
"createTime": "2023-01-05T01:40:48.994Z",
"database": {},
"eventTime": "2023-01-05T01:39:36.876Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {
"signatures": [
{
"memoryHashSignature": {
"binaryFamily": "XMRig",
"detections": [
{
"binary": "linux-x86-64_xmrig_6.12.2",
"percentPagesMatched": 1
}
]
}
}
]
},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [
{
"binary": {
"path": "BINARY_PATH"
},
"script": {},
"args": [
"./miner",
""
],
"pid": "123",
"parentPid": "456",
"name": "miner"
}
],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "HIGH",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"project_display_name": "DISPLAY_NAME",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Execution: Cryptocurrency Mining YARA Rule
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Execution: Cryptocurrency Mining YARA Rule",
"createTime": "2023-01-05T00:37:38.450Z",
"database": {},
"eventTime": "2023-01-05T01:12:48.828Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {
"signatures": [
{
"yaraRuleSignature": {
"yaraRule": "YARA_RULE9"
}
},
{
"yaraRuleSignature": {
"yaraRule": "YARA_RULE10"
}
},
{
"yaraRuleSignature": {
"yaraRule": "YARA_RULE25"
}
}
]
},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [
{
"binary": {
"path": "BINARY_PATH"
},
"script": {},
"args": [
"./miner",
""
],
"pid": "123",
"parentPid": "456",
"name": "miner"
}
],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "HIGH",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"project_display_name": "DISPLAY_NAME",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Malware: Malicious file on disk (YARA)
{
"findings": {
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Malware: Malicious file on disk (YARA)",
"createTime": "2023-01-05T00:37:38.450Z",
"eventTime": "2023-01-05T01:12:48.828Z",
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {
"signatures": [
{
"yaraRuleSignature": {
"yaraRule": "M_Backdoor_REDSONJA_1"
},
"signatureType": "SIGNATURE_TYPE_FILE",
},
{
"yaraRuleSignature": {
"yaraRule": "M_Backdoor_REDSONJA_2"
},
"signatureType": "SIGNATURE_TYPE_FILE",
}
]
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"files": [
{
"diskPath": {
"partition_uuid": "b411dc99-f0a0-4c87-9e05-184977be8539",
"relative_path": "RELATIVE_PATH"
},
"size": "21238",
"sha256": "65d860160bdc9b98abf72407e14ca40b609417de7939897d3b58d55787aaef69",
"hashedSize": "21238"
}
],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "HIGH",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"project_display_name": "DISPLAY_NAME",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Ergebnisstatus ändern
Wenn Sie von VM Threat Detection erkannte Bedrohungen beheben, legt der Dienst den Status eines Ergebnisses bei nachfolgenden Scans nicht automatisch auf Inaktiv fest. Aufgrund der Beschaffenheit unserer Bedrohungsdomain kann die VM Threat Detection nicht feststellen, ob eine Bedrohung beseitigt oder geändert wurde, um die Erkennung zu vermeiden.
Wenn Ihre Sicherheitsteams sicher sind, dass eine Bedrohung entschärft wurde, kann der Status der Ergebnisse mit folgenden Schritten auf "Inaktiv" geändert werden.
Rufen Sie in der Google Cloud Console die Seite Ergebnisse des Security Command Center auf.
Klicken Sie neben Anzeigen nach auf Quelltyp.
Wählen Sie in der Liste Quelltyp die Option Bedrohungserkennung für virtuelle Maschinen aus. Die Tabelle enthält die Ergebnisse für den ausgewählten Quelltyp.
Aktivieren Sie das Kästchen neben den Ergebnissen, die bearbeitet wurden.
Klicken Sie auf Aktivitätsstatus ändern.
Klicken Sie auf Inaktiv.
VM Bedrohungserkennung aktivieren oder deaktivieren
VM Threat Detection ist standardmäßig für alle Kunden aktiviert, die sich in Security Command Center Premium nach dem 15. Juli 2022, allgemein verfügbar gemacht. Bei Bedarf können Sie sie manuell deaktivieren oder wieder aktivieren. für Ihr Projekt oder Ihr Unternehmen.
Wenn Sie VM Threat Detection für eine Organisation oder ein Projekt aktivieren, scannt der Dienst automatisch alle unterstützten Ressourcen in dieser Organisation oder diesem Projekt. Umgekehrt gilt: Wenn Sie VM Bedrohungserkennung für eine Organisation oder ein Projekt deaktivieren, beendet der Dienst das Scannen aller unterstützten Ressourcen darin.
So aktivieren oder deaktivieren Sie VM Bedrohungserkennung:
Console
In der Google Cloud Console können Sie VM Bedrohungserkennung über den Tab Dienste auf der Seite Einstellungen aktivieren oder deaktivieren.
Weitere Informationen finden Sie unter Integrierten Dienst aktivieren oder deaktivieren
cURL
senden Sie eine PATCH-Anfrage.
curl -X PATCH -H "Authorization: Bearer \"$(gcloud auth print-access-token)\"" \
-H "Content-Type: application/json; charset=utf-8" \
-H "X-Goog-User-Project: X_GOOG_USER_PROJECT" \
https://securitycenter.googleapis.com/v1beta2/RESOURCE/RESOURCE_ID/virtualMachineThreatDetectionSettings \
-d '{"serviceEnablementState": "NEW_STATE"}'
Dabei gilt:
- X_GOOG_USER_PROJECT ist das Projekt, dem die mit VM Threat Detection-Scans verbundenen Zugriffsgebühren in Rechnung gestellt werden.
- RESOURCE ist der zu scannende Ressourcentyp (
organizationsoderprojects). - RESOURCE_ID: die ID der Organisation oder des Projekts, für das Sie VM Bedrohungserkennung aktivieren oder deaktivieren möchten.
- NEW_STATE ist der Status, in dem sich VM Bedrohungserkennung befinden soll (
ENABLEDoderDISABLED).
gcloud
Führen Sie dazu diesen Befehl aus:
gcloud alpha scc settings services ACTION --RESOURCE RESOURCE_ID \
--service VIRTUAL_MACHINE_THREAT_DETECTION
Dabei gilt:
- ACTION ist die Aktion, die Sie für den VM Bedrohungserkennung-Dienst (
enableoderdisable) ausführen möchten. - RESOURCE: Der Ressourcentyp, für den Sie VM Bedrohungserkennung aktivieren oder deaktivieren möchten (
organizationoderproject). - RESOURCE_ID: die ID der Organisation oder des Projekts, für das Sie VM Bedrohungserkennung aktivieren oder deaktivieren möchten.
VM Bedrohungserkennungs-Modul aktivieren oder deaktivieren
So aktivieren oder deaktivieren Sie einen einzelnen VM-Bedrohungserkennung-Detektor, auch Modul genannt: Änderungen an Einstellungen werden spätestens nach einer Stunde wirksam.
Informationen zu allen VM Threat Detection-Bedrohungsergebnissen und den Modulen finden Sie auf der Seite Bedrohungen Ergebnisse .
Console
Weitere Informationen finden Sie unter Modul aktivieren oder deaktivieren.
cURL
Senden Sie zum Aktivieren oder Deaktivieren eines VM Bedrohungserkennung-Moduls in Ihrer Organisation oder Ihrem Projekt eine PATCH-Anfrage:
curl -X PATCH -H "Authorization: Bearer \"$(gcloud auth print-access-token)\"" \
-H "Content-Type: application/json; charset=utf-8" \
-H "X-Goog-User-Project: X_GOOG_USER_PROJECT" \
https://securitycenter.googleapis.com/v1beta2/RESOURCE/RESOURCE_ID/virtualMachineThreatDetectionSettings \
-d '{"modules": {"MODULE": {"module_enablement_state": "NEW_STATE"}}}'
Dabei gilt:
- X_GOOG_USER_PROJECT ist das Projekt, dem die Zugriffsgebühren für VM Threat Detection-Scans in Rechnung gestellt werden.
- RESOURCE: der Ressourcentyp, den Sie aktivieren oder deaktivieren möchten.
Modul über (
organizationsoderprojects). - RESOURCE_ID: die ID der Organisation oder des Projekts, das Sie verwenden möchten um das Modul zu aktivieren oder zu deaktivieren.
- MODULE: das Modul, das Sie aktivieren oder deaktivieren möchten – für
Beispiel:
CRYPTOMINING_HASH. - NEW_STATE: der Zustand, in dem sich das Modul befinden soll (
ENABLEDoderDISABLED).
gcloud
Führen Sie den folgenden Befehl aus, um ein VM Bedrohungserkennung-Modul für Ihre Organisation oder Ihr Projekt zu aktivieren oder zu deaktivieren:
gcloud alpha scc settings services modules ACTION --RESOURCE RESOURCE_ID \
--service VIRTUAL_MACHINE_THREAT_DETECTION --module MODULE
Dabei gilt:
- ACTION: die Aktion, die Sie im Modul ausführen möchten (
enableoderdisable). - RESOURCE: der Ressourcentyp, den Sie aktivieren oder deaktivieren möchten.
Modul über (
organizationoderproject). - RESOURCE_ID: die ID der Organisation oder des Projekts, das Sie verwenden möchten um das Modul zu aktivieren oder zu deaktivieren.
- MODULE: das Modul, das Sie aktivieren oder deaktivieren möchten – für
Beispiel:
CRYPTOMINING_HASH.
Einstellungen der VM Bedrohungserkennungs-Module ansehen
Informationen zu allen VM Threat Detection-Bedrohungsergebnissen und den Modulen finden Sie auf der Seite Bedrohungen Ergebnisse .
Console
Weitere Informationen finden Sie unter Module eines Dienstes ansehen.
cURL
senden Sie eine GET-Anfrage.
curl -X GET -H "Authorization: Bearer \"$(gcloud auth print-access-token)\"" \
-H "Content-Type: application/json; charset=utf-8" \
-H "X-Goog-User-Project: X_GOOG_USER_PROJECT" \
https://securitycenter.googleapis.com/v1beta2/RESOURCE/RESOURCE_ID/virtualMachineThreatDetectionSettings:calculate
Dabei gilt:
- X_GOOG_USER_PROJECT ist das Projekt, dem die Zugriffsgebühren für VM Threat Detection-Scans in Rechnung gestellt werden.
- RESOURCE: der Ressourcentyp, für den Sie die Ressource aufrufen möchten. Moduleinstellungen.
- RESOURCE_ID: die ID der Organisation oder des Projekts, für die Sie die Moduleinstellungen aufrufen möchten.
gcloud
Führen Sie den folgenden Befehl aus, um die Einstellungen für ein einzelnes Modul aufzurufen:
gcloud alpha scc settings services modules describe --RESOURCE RESOURCE_ID \
--service VIRTUAL_MACHINE_THREAT_DETECTION --module MODULE
Führen Sie den folgenden Befehl aus, um die Einstellungen für alle Module aufzurufen:
gcloud alpha scc settings services describe --RESOURCE RESOURCE_ID \
--service VIRTUAL_MACHINE_THREAT_DETECTION
Dabei gilt:
- RESOURCE: der Ressourcentyp, für den Sie die Ressource aufrufen möchten.
Moduleinstellungen (
organizationoderproject). - RESOURCE_ID: die ID der Organisation oder des Projekts, für die Sie die Moduleinstellungen aufrufen möchten.
- MODULE: das Modul, das Sie sich ansehen möchten – für
Beispiel:
CRYPTOMINING_HASH.
Softwarenamen und YARA-Regeln zur Erkennung von Mining von Kryptowährungen
Die folgenden Listen enthalten die Namen von Binärprogrammen und YARA-Regeln, die ausgelöst werden. für das Mining von Kryptowährungen. Maximieren Sie die Knoten, um die Listen aufzurufen.
Execution: Cryptocurrency Mining Hash Match
- Arionum CPU Miner: Mining-Software für die Arionum-Kryptowährung
- Avermore: Mining-Software für scrypt-basierte Kryptowährungen
- Beam CUDA Miner: Mining-Software für Equihash-basierte Kryptowährungen
- Beam OpenCL Miner: Mining-Software für Equihash-basierte Kryptowährungen
- BFGMiner: ASIC/FPGA-basierte Mining-Software für Bitcoin
- BMiner: Mining-Software für verschiedene Kryptowährungen
- Cast XMR: Mining-Software für CryptoNight-basierte Kryptowährungen
- ccminer: CUDA-basierte Mining-Software
- cgminer: ASIC/FPGA-basierte Mining-Software für Bitcoin
- Claymore Miner: GPU-basierte Mining-Software für verschiedene Kryptowährungen
- CPUMiner: Familie CPU-basierter Mining-Software
- CryptoDredge: Mining-Softwarefamilie für CryptoDredge
- CryptoGoblin: Mining-Software für CryptoNight-basierte Kryptowährungen
- DamoMiner: GPU-basierte Mining-Software für Ethereum und andere Kryptowährungen
- DigitsMiner: Mining-Software für Digits
- EasyMiner: Mining-Software für Bitcoin und andere Kryptowährungen
- Ethminer: Mining-Software für Ethereum und andere Kryptowährungen
- EWBF: Mining-Software für Equihash-basierte Kryptowährungen
- FinMiner: Mining-Software für Ethash- und CryptoNight-basierte Kryptowährungen
- Funakoshi Miner: Mining-Software für Bitcoin-Gold-Kryptowährungen
- Geth: Mining-Software für Ethereum
- GMiner: Mining-Software für verschiedene Kryptowährungen
- gominer: Mining-Software für Decred
- GrinGoldMiner: Mining-Software für Grin
- Hush: Mining-Software für Zcash-basierte Kryptowährungen
- IxiMiner: Mining-Software für Ixian
- kawpowminer: Mining-Software für Ravencoin
- Komodo: Mining-Softwarefamilie für Komodo
- lolMiner: Mining-Software für verschiedene Kryptowährungen
- lukMiner: Mining-Software für verschiedene Kryptowährungen
- MinerGate: Mining-Software für verschiedene Kryptowährungen
- miniZ: Mining-Software für Equihash-basierte Kryptowährungen
- Mirai: Malware, die zum Mining von Kryptowährungen verwendet werden kann
- MultiMiner: Mining-Software für verschiedene Kryptowährungen
- nanominer: Mining-Software für verschiedene Kryptowährungen
- NBMiner: Mining-Software für verschiedene Kryptowährungen
- Nevermore: Mining-Software für verschiedene Kryptowährungen
- nheqminer: Mining-Software für NiceHash
- NinjaRig: Mining-Software für Argon2-basierte Kryptowährungen
- NodeCore PoW CUDA Miner: Mining-Software für VeriBlock
- NoncerPro: Mining-Software für Nimiq
- Optiminer/Equihash: Mining-Software für Equihash-basierte Kryptowährungen
- PascalCoin: Mining-Softwarefamilie für PascalCoin
- PhoenixMiner: Mining-Software für Ethereum
- Pooler CPU Miner: Mining-Software für Litecoin und Bitcoin
- ProgPoW Miner: Mining-Software für Ethereum und andere Kryptowährungen
- rhminer: Mining-Software für PascalCoin
- sgminer: Mining-Software für Scrypt-basierte Kryptowährungen
- simplecoin: Mining-Softwarefamilie für Scrypt-basiertes SimpleCoin
- Skypool Nimiq Miner: Mining-Software für Nimiq
- SwapReferenceMiner: Mining-Software für Grin
- Team Red Miner: AMD-basierte Mining-Software für verschiedene Kryptowährungen
- T-Rex: Mining-Software für verschiedene Kryptowährungen
- TT-Miner: Mining-Software für verschiedene Kryptowährungen
- Ubqminer: Mining-Software für Ubqhash-basierte Kryptowährungen
- VersusCoin: Mining-Software für VersusCoin
- violetminer: Mining-Software für Argon2-basierte Kryptowährungen
- Webchain-Miner: Mining-Software für MintMe
- WildRig: Mining-Software für verschiedene Kryptowährungen
- XCASH_ALL_Miner: Mining-Software für XCASH
- xFash: Mining-Software für MinerGate
- XLArig: Mining-Software für CryptoNight-basierte Kryptowährungen
- XMRig: Mining-Software für verschiedene Kryptowährungen
- Xmr-Stak: Mining-Software für CryptoNight-basierte Kryptowährungen
- XMR-Stak TurtleCoin: Mining-Software für CryptoNight-basierte Kryptowährungen
- Xtl-Stak: Mining-Software für CryptoNight-basierte Kryptowährungen
- Yam Miner: Mining-Software für MinerGate
- YCash: Mining-Software für YCash
- ZCoin: Mining-Software für ZCoin/Fire
- Zealot/Enemy: Mining-Software für verschiedene Kryptowährungen
- Kryptowährungs-Miner-Signal1
1 Dieser allgemeine Bedrohungsname gibt an, dass ein unbekannter Cryptocurrency-Miner möglicherweise in der VM ausgeführt wird, die VM Threat Detection jedoch keine spezifischen Informationen über den Miner hat.
Execution: Cryptocurrency Mining YARA Rule
- YARA_RULE1: entspricht einer Mining-Software für Monero
- YARA_RULE9: entspricht Mining-Software, die Blake2- und AES-Chiffres verwendet
- YARA_RULE10: entspricht einer Mining-Software, die die Proof of Work-Routine von CryptoNight verwendet
- YARA_RULE15: entspricht einer Mining-Software für NBMiner
- YARA_RULE17: entspricht einer Mining-Software, die die Proof of Work-Routine von Scrypt verwendet
- YARA_RULE18: entspricht einer Mining-Software, die die Proof of Work-Routine von Scrypt verwendet
- YARA_RULE19: entspricht einer Mining-Software für BFGMiner
- YARA_RULE24: entspricht einer Mining-Software für XMR-Stak
- YARA_RULE25: entspricht einer Mining-Software für XMRig
- DYNAMIC_YARA_RULE_BFGMINER_2: entspricht einer Mining-Software für BFGMiner
Nächste Schritte
- Weitere Informationen zu VM Bedrohungserkennung.
- Ergebnisse von VM Threat Detection untersuchen.