Bedrohungserkennung für virtuelle Maschinen verwenden

Auf dieser Seite wird beschrieben, wie Sie Ergebnisse der VM-Gefahrenerkennung aufrufen und verwalten. Außerdem erfahren Sie, wie Sie den Dienst und seine Module aktivieren oder deaktivieren.

Übersicht

Virtual Machine Threat Detection ist ein integrierter Dienst von Security Command Center, der in den Enterprise- und Premium-Stufen verfügbar ist. Dieser Dienst scannt Compute Engine-Instanzen, um potenziell schädliche Anwendungen wie Kryptowährung-Mining-Software, Rootkits im Kernelmodus und Malware zu erkennen, die in manipulierten Cloud-Umgebungen ausgeführt werden.

VM Threat Detection ist Teil der Bedrohungserkennungs-Suite von Security Command Center und ergänzt die vorhandenen Funktionen von Event Threat Detection und Container Threat Detection.

Weitere Informationen finden Sie unter VM Threat Detection – Übersicht.

Kosten

Nach der Registrierung für die Premium-Version des Security Command Center entstehen keine zusätzlichen Kosten für die Verwendung von VM Threat Detection.

Hinweise

Um diese Funktion verwenden zu können, müssen Sie für Security Command Center Premium registriert sein.

Darüber hinaus benötigen Sie ausreichende IAM-Rollen (Identity and Access Management), um Ergebnisse aufzurufen oder zu bearbeiten und Google Cloud-Ressourcen zu ändern. Wenn im Security Command Center Zugriffsfehler auftreten, wenden Sie sich an Ihren Administrator. Weitere Informationen zu Rollen finden Sie unter Zugriffssteuerung.

VM Threat Detection testen

Zum Testen der Erkennung von Kryptowährung-Mining durch VM Threat Detection können Sie eine Kryptowährung-Mining-Anwendung auf Ihrer VM ausführen. Eine Liste der Binärnamen und YARA-Regeln, die Ergebnisse auslösen, finden Sie unter Softwarenamen und YARA-Regeln. Wenn Sie Mining-Anwendungen installieren und testen, wird empfohlen, dass Sie Anwendungen nur in einer isolierten Testumgebung ausführen, ihre Verwendung genau überwachen und sie nach dem Testen vollständig entfernen.

Zum Testen der Malware-Erkennung von VM Threat Detection können Sie Malware-Anwendungen auf Ihre VM herunterladen. Wenn Sie Malware herunterladen, sollten Sie dies in einer isolierten Testumgebung tun und sie nach dem Testen vollständig entfernen.

Ergebnisse in der Google Cloud Console prüfen

So prüfen Sie die Ergebnisse der VM Threat Detection in der Google Cloud Console:

  1. Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.

    Zu Ergebnissen

  2. Wählen Sie Ihr Google Cloud-Projekt oder Ihre Organisation aus.
  3. Wählen Sie im Abschnitt Schnellfilter im Unterabschnitt Anzeigename der Quelle die Option Bedrohungserkennung für virtuelle Maschinen aus. Die Ergebnisse der Ergebnisabfrage werden aktualisiert, sodass nur die Ergebnisse aus dieser Quelle angezeigt werden.
  4. Klicken Sie in der Spalte Kategorie auf den Namen des Ergebnisses, um Details zu einem bestimmten Ergebnis aufzurufen. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.
  5. Auf dem Tab Zusammenfassung finden Sie Details zum Ergebnis, einschließlich Informationen dazu, was erkannt wurde, zur betroffenen Ressource und – falls verfügbar – zu den Schritten, die Sie unternehmen können, um das Problem zu beheben.
  6. Optional: Klicken Sie auf den Tab JSON, um die vollständige JSON-Definition des Ergebnisses aufzurufen.

Ausführliche Informationen dazu, wie Sie auf die einzelnen Ergebnisse von VM Threat Detection reagieren, finden Sie unter VM Threat Detection-Antwort.

Eine Liste der Ergebnisse von VM Threat Detection finden Sie unter Ergebnisse.

Schweregrad

Den Ergebnissen der VM Threat Detection wird basierend auf der Zuverlässigkeit der Bedrohungsklassifizierung der Schweregrad Hoch, Mittel oder Niedrig zugewiesen.

Kombinierte Erkennungen

Kombinierte Erkennungen treten auf, wenn mehrere Ergebniskategorien innerhalb eines Tages erkannt werden. Die Ergebnisse können von einer oder mehreren schädlichen Anwendungen verursacht worden sein. Beispiel: Eine einzelne Anwendung kann gleichzeitig Execution: Cryptocurrency Mining YARA Rule- und Execution: Cryptocurrency Mining Hash Match-Ergebnisse auslösen. Es werden aber alle Bedrohungen, die von einer einzigen Quelle innerhalb desselben Tages erkannt wurden, zu einem Ergebnis, der kombinierten Erkennung, zusammengefasst. Wenn in den folgenden Tagen weitere Bedrohungen gefunden werden, werden diese mit neuen Ergebnissen verknüpft, auch falls es sich um identische Bedrohungen handelt.

Ein Beispiel für ein kombiniertes Erkennungsergebnis finden Sie unter Beispiele für Ergebnisformate.

Beispiele für Ergebnisformate

Diese JSON-Ausgabebeispiele enthalten Felder, die für VM Threat Detection-Ergebnisse üblich sind. In jedem Beispiel werden nur die für den Ergebnistyp relevanten Felder angezeigt. Es handelt sich nicht um eine vollständige Liste der Felder.

Sie können Ergebnisse über die Security Command Center-Konsole exportieren oder Ergebnisse über die Security Command Center API auflisten.

Wenn Sie sich die Beispielergebnisse ansehen möchten, maximieren Sie einen oder mehrere der folgenden Knoten. Informationen zu den einzelnen Feldern in der Meldung finden Sie unter Finding.

Defense Evasion: Rootkit

Dieses Beispiel für eine Ausgabe zeigt die Erkennung eines bekannten Rootkits im Kernelmodus: Diamorphine.

{
  "findings": {
    "access": {},
    "assetDisplayName": "DISPLAY_NAME",
    "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
    "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
    "category": "Defense Evasion: Rootkit",
    "createTime": "2023-01-12T00:39:33.007Z",
    "database": {},
    "eventTime": "2023-01-11T21:24:05.326Z",
    "exfiltration": {},
    "findingClass": "THREAT",
    "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
    "indicator": {},
    "kernelRootkit": {
      "name": "Diamorphine",
      "unexpected_kernel_code_pages": true,
      "unexpected_system_call_handler": true
    },
    "kubernetes": {},
    "mitreAttack": {
      "version": "9"
    },
    "mute": "UNDEFINED",
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
    "parentDisplayName": "Virtual Machine Threat Detection",
    "processes": [],
    "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
    "severity": "HIGH",
    "sourceDisplayName": "Virtual Machine Threat Detection",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
    "display_name": "DISPLAY_NAME",
    "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
    "project_display_name": "PROJECT_ID",
    "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
    "parent_display_name": "DISPLAY_NAME",
    "type": "google.compute.Instance",
    "folders": []
  },
  "sourceProperties": {}
}
      

Defense Evasion: Unexpected ftrace handler (Vorschau)

  {
    "findings": {
      "access": {},
      "assetDisplayName": "DISPLAY_NAME",
      "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
      "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
      "category": "Defense Evasion: Unexpected ftrace handler",
      "createTime": "2023-01-12T00:39:33.007Z",
      "database": {},
      "eventTime": "2023-01-11T21:24:05.326Z",
      "exfiltration": {},
      "findingClass": "THREAT",
      "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
      "indicator": {},
      "kernelRootkit": {},
      "kubernetes": {},
      "mitreAttack": {
        "version": "9"
      },
      "mute": "UNDEFINED",
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
      "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
      "parentDisplayName": "Virtual Machine Threat Detection",
      "processes": [],
      "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "severity": "MEDIUM",
      "sourceDisplayName": "Virtual Machine Threat Detection",
      "state": "ACTIVE",
      "vulnerability": {},
      "workflowState": "NEW"
    },
    "resource": {
      "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "display_name": "DISPLAY_NAME",
      "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "project_display_name": "PROJECT_ID",
      "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "parent_display_name": "DISPLAY_NAME",
      "type": "google.compute.Instance",
      "folders": []
    },
    "sourceProperties": {}
  }
      

Defense Evasion: Unexpected interrupt handler (Vorschau)

  {
    "findings": {
      "access": {},
      "assetDisplayName": "DISPLAY_NAME",
      "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
      "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
      "category": "Defense Evasion: Unexpected interrupt handler",
      "createTime": "2023-01-12T00:39:33.007Z",
      "database": {},
      "eventTime": "2023-01-11T21:24:05.326Z",
      "exfiltration": {},
      "findingClass": "THREAT",
      "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
      "indicator": {},
      "kernelRootkit": {},
      "kubernetes": {},
      "mitreAttack": {
        "version": "9"
      },
      "mute": "UNDEFINED",
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
      "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
      "parentDisplayName": "Virtual Machine Threat Detection",
      "processes": [],
      "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "severity": "MEDIUM",
      "sourceDisplayName": "Virtual Machine Threat Detection",
      "state": "ACTIVE",
      "vulnerability": {},
      "workflowState": "NEW"
    },
    "resource": {
      "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "display_name": "DISPLAY_NAME",
      "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "project_display_name": "PROJECT_ID",
      "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "parent_display_name": "DISPLAY_NAME",
      "type": "google.compute.Instance",
      "folders": []
    },
    "sourceProperties": {}
  }
      

Defense Evasion: Unexpected kernel code modification (Vorschau)

  {
    "findings": {
      "access": {},
      "assetDisplayName": "DISPLAY_NAME",
      "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
      "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
      "category": "Defense Evasion: Unexpected kernel code modification",
      "createTime": "2023-01-12T00:39:33.007Z",
      "database": {},
      "eventTime": "2023-01-11T21:24:05.326Z",
      "exfiltration": {},
      "findingClass": "THREAT",
      "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
      "indicator": {},
      "kernelRootkit": {},
      "kubernetes": {},
      "mitreAttack": {
        "version": "9"
      },
      "mute": "UNDEFINED",
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
      "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
      "parentDisplayName": "Virtual Machine Threat Detection",
      "processes": [],
      "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "severity": "MEDIUM",
      "sourceDisplayName": "Virtual Machine Threat Detection",
      "state": "ACTIVE",
      "vulnerability": {},
      "workflowState": "NEW"
    },
    "resource": {
      "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "display_name": "DISPLAY_NAME",
      "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "project_display_name": "PROJECT_ID",
      "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "parent_display_name": "DISPLAY_NAME",
      "type": "google.compute.Instance",
      "folders": []
    },
    "sourceProperties": {}
  }
      

Defense Evasion: Unexpected kernel modules (Vorschau)

  {
    "findings": {
      "access": {},
      "assetDisplayName": "DISPLAY_NAME",
      "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
      "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
      "category": "Defense Evasion: Unexpected kernel modules",
      "createTime": "2023-01-12T00:39:33.007Z",
      "database": {},
      "eventTime": "2023-01-11T21:24:05.326Z",
      "exfiltration": {},
      "findingClass": "THREAT",
      "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
      "indicator": {},
      "kernelRootkit": {},
      "kubernetes": {},
      "mitreAttack": {
        "version": "9"
      },
      "mute": "UNDEFINED",
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
      "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
      "parentDisplayName": "Virtual Machine Threat Detection",
      "processes": [],
      "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "severity": "MEDIUM",
      "sourceDisplayName": "Virtual Machine Threat Detection",
      "state": "ACTIVE",
      "vulnerability": {},
      "workflowState": "NEW"
    },
    "resource": {
      "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "display_name": "DISPLAY_NAME",
      "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "project_display_name": "PROJECT_ID",
      "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "parent_display_name": "DISPLAY_NAME",
      "type": "google.compute.Instance",
      "folders": []
    },
    "sourceProperties": {}
  }
      

Defense Evasion: Unexpected kernel read-only data modification (Vorschau)

  {
    "findings": {
      "access": {},
      "assetDisplayName": "DISPLAY_NAME",
      "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
      "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
      "category": "Defense Evasion: Unexpected kernel read-only data modification",
      "createTime": "2023-01-12T00:39:33.007Z",
      "database": {},
      "eventTime": "2023-01-11T21:24:05.326Z",
      "exfiltration": {},
      "findingClass": "THREAT",
      "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
      "indicator": {},
      "kernelRootkit": {},
      "kubernetes": {},
      "mitreAttack": {
        "version": "9"
      },
      "mute": "UNDEFINED",
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
      "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
      "parentDisplayName": "Virtual Machine Threat Detection",
      "processes": [],
      "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "severity": "MEDIUM",
      "sourceDisplayName": "Virtual Machine Threat Detection",
      "state": "ACTIVE",
      "vulnerability": {},
      "workflowState": "NEW"
    },
    "resource": {
      "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "display_name": "DISPLAY_NAME",
      "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "project_display_name": "PROJECT_ID",
      "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "parent_display_name": "DISPLAY_NAME",
      "type": "google.compute.Instance",
      "folders": []
    },
    "sourceProperties": {}
  }
      

Defense Evasion: Unexpected kprobe handler (Vorschau)

  {
    "findings": {
      "access": {},
      "assetDisplayName": "DISPLAY_NAME",
      "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
      "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
      "category": "Defense Evasion: Unexpected kprobe handler",
      "createTime": "2023-01-12T00:39:33.007Z",
      "database": {},
      "eventTime": "2023-01-11T21:24:05.326Z",
      "exfiltration": {},
      "findingClass": "THREAT",
      "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
      "indicator": {},
      "kernelRootkit": {},
      "kubernetes": {},
      "mitreAttack": {
        "version": "9"
      },
      "mute": "UNDEFINED",
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
      "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
      "parentDisplayName": "Virtual Machine Threat Detection",
      "processes": [],
      "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "severity": "MEDIUM",
      "sourceDisplayName": "Virtual Machine Threat Detection",
      "state": "ACTIVE",
      "vulnerability": {},
      "workflowState": "NEW"
    },
    "resource": {
      "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "display_name": "DISPLAY_NAME",
      "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "project_display_name": "PROJECT_ID",
      "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "parent_display_name": "DISPLAY_NAME",
      "type": "google.compute.Instance",
      "folders": []
    },
    "sourceProperties": {}
  }
      

Defense Evasion: Unexpected processes in runqueue (Vorschau)

  {
    "findings": {
      "access": {},
      "assetDisplayName": "DISPLAY_NAME",
      "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
      "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
      "category": "Defense Evasion: Unexpected processes in runqueue",
      "createTime": "2023-01-12T00:39:33.007Z",
      "database": {},
      "eventTime": "2023-01-11T21:24:05.326Z",
      "exfiltration": {},
      "findingClass": "THREAT",
      "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
      "indicator": {},
      "kernelRootkit": {},
      "kubernetes": {},
      "mitreAttack": {
        "version": "9"
      },
      "mute": "UNDEFINED",
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
      "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
      "parentDisplayName": "Virtual Machine Threat Detection",
      "processes": [],
      "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "severity": "MEDIUM",
      "sourceDisplayName": "Virtual Machine Threat Detection",
      "state": "ACTIVE",
      "vulnerability": {},
      "workflowState": "NEW"
    },
    "resource": {
      "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "display_name": "DISPLAY_NAME",
      "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "project_display_name": "PROJECT_ID",
      "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "parent_display_name": "DISPLAY_NAME",
      "type": "google.compute.Instance",
      "folders": []
    },
    "sourceProperties": {}
  }
      

Defense Evasion: Unexpected system call handler (Vorschau)

  {
    "findings": {
      "access": {},
      "assetDisplayName": "DISPLAY_NAME",
      "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
      "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
      "category": "Defense Evasion: Unexpected system call handler",
      "createTime": "2023-01-12T00:39:33.007Z",
      "database": {},
      "eventTime": "2023-01-11T21:24:05.326Z",
      "exfiltration": {},
      "findingClass": "THREAT",
      "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
      "indicator": {},
      "kernelRootkit": {},
      "kubernetes": {},
      "mitreAttack": {
        "version": "9"
      },
      "mute": "UNDEFINED",
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
      "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
      "parentDisplayName": "Virtual Machine Threat Detection",
      "processes": [],
      "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "severity": "MEDIUM",
      "sourceDisplayName": "Virtual Machine Threat Detection",
      "state": "ACTIVE",
      "vulnerability": {},
      "workflowState": "NEW"
    },
    "resource": {
      "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "display_name": "DISPLAY_NAME",
      "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "project_display_name": "PROJECT_ID",
      "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "parent_display_name": "DISPLAY_NAME",
      "type": "google.compute.Instance",
      "folders": []
    },
    "sourceProperties": {}
  }
      

Execution: Cryptocurrency Mining Combined Detection

Dieses Beispiel für eine Ausgabe zeigt eine Bedrohung, die sowohl vom CRYPTOMINING_HASH- als auch vom CRYPTOMINING_YARA-Modul erkannt wurde.

{
  "findings": {
    "access": {},
    "assetDisplayName": "DISPLAY_NAME",
    "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
    "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "category": "Execution: Cryptocurrency Mining Combined Detection",
    "createTime": "2023-01-05T01:40:48.994Z",
    "database": {},
    "eventTime": "2023-01-05T01:39:36.876Z",
    "exfiltration": {},
    "findingClass": "THREAT",
    "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
    "indicator": {
      "signatures": [
        {
          "yaraRuleSignature": {
            "yaraRule": "YARA_RULE1"
          }
        },
        {
          "yaraRuleSignature": {
            "yaraRule": "YARA_RULE9"
          }
        },
        {
          "yaraRuleSignature": {
            "yaraRule": "YARA_RULE10"
          }
        },
        {
          "yaraRuleSignature": {
            "yaraRule": "YARA_RULE25"
          }
        },
        {
          "memoryHashSignature": {
            "binaryFamily": "XMRig",
            "detections": [
              {
                "binary": "linux-x86-64_xmrig_6.12.2",
                "percentPagesMatched": 1
              }
            ]
          }
        }
      ]
    },
    "kernelRootkit": {},
    "kubernetes": {},
    "mitreAttack": {
      "version": "9"
    },
    "mute": "UNDEFINED",
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
    "parentDisplayName": "Virtual Machine Threat Detection",
    "processes": [
      {
        "binary": {
          "path": "BINARY_PATH"
        },
        "script": {},
        "args": [
          "./miner",
          ""
        ],
        "pid": "123",
        "parentPid": "456",
        "name": "miner"
      }
    ],
    "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
    "severity": "HIGH",
    "sourceDisplayName": "Virtual Machine Threat Detection",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
    "display_name": "DISPLAY_NAME",
    "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "project_display_name": "DISPLAY_NAME",
    "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "parent_display_name": "DISPLAY_NAME",
    "type": "google.compute.Instance",
    "folders": []
  },
  "sourceProperties": {}
}
    

Execution: Cryptocurrency Mining Hash Match Detection

{
  "findings": {
    "access": {},
    "assetDisplayName": "DISPLAY_NAME",
    "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
    "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "category": "Execution: Cryptocurrency Mining Hash Match",
    "createTime": "2023-01-05T01:40:48.994Z",
    "database": {},
    "eventTime": "2023-01-05T01:39:36.876Z",
    "exfiltration": {},
    "findingClass": "THREAT",
    "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
    "indicator": {
      "signatures": [
        {
          "memoryHashSignature": {
            "binaryFamily": "XMRig",
            "detections": [
              {
                "binary": "linux-x86-64_xmrig_6.12.2",
                "percentPagesMatched": 1
              }
            ]
          }
        }
      ]
    },
    "kernelRootkit": {},
    "kubernetes": {},
    "mitreAttack": {
      "version": "9"
    },
    "mute": "UNDEFINED",
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
    "parentDisplayName": "Virtual Machine Threat Detection",
    "processes": [
      {
        "binary": {
          "path": "BINARY_PATH"
        },
        "script": {},
        "args": [
          "./miner",
          ""
        ],
        "pid": "123",
        "parentPid": "456",
        "name": "miner"
      }
    ],
    "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
    "severity": "HIGH",
    "sourceDisplayName": "Virtual Machine Threat Detection",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
    "display_name": "DISPLAY_NAME",
    "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "project_display_name": "DISPLAY_NAME",
    "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "parent_display_name": "DISPLAY_NAME",
    "type": "google.compute.Instance",
    "folders": []
  },
  "sourceProperties": {}
}
    

Execution: Cryptocurrency Mining YARA Rule

{
  "findings": {
    "access": {},
    "assetDisplayName": "DISPLAY_NAME",
    "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
    "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "category": "Execution: Cryptocurrency Mining YARA Rule",
    "createTime": "2023-01-05T00:37:38.450Z",
    "database": {},
    "eventTime": "2023-01-05T01:12:48.828Z",
    "exfiltration": {},
    "findingClass": "THREAT",
    "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
    "indicator": {
      "signatures": [
        {
          "yaraRuleSignature": {
            "yaraRule": "YARA_RULE9"
          }
        },
        {
          "yaraRuleSignature": {
            "yaraRule": "YARA_RULE10"
          }
        },
        {
          "yaraRuleSignature": {
            "yaraRule": "YARA_RULE25"
          }
        }
      ]
    },
    "kernelRootkit": {},
    "kubernetes": {},
    "mitreAttack": {
      "version": "9"
    },
    "mute": "UNDEFINED",
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
    "parentDisplayName": "Virtual Machine Threat Detection",
    "processes": [
      {
        "binary": {
          "path": "BINARY_PATH"
        },
        "script": {},
        "args": [
          "./miner",
          ""
        ],
        "pid": "123",
        "parentPid": "456",
        "name": "miner"
      }
    ],
    "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
    "severity": "HIGH",
    "sourceDisplayName": "Virtual Machine Threat Detection",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
    "display_name": "DISPLAY_NAME",
    "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "project_display_name": "DISPLAY_NAME",
    "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "parent_display_name": "DISPLAY_NAME",
    "type": "google.compute.Instance",
    "folders": []
  },
  "sourceProperties": {}
}
    

Malware: Malicious file on disk (YARA)

{
  "findings": {
    "assetDisplayName": "DISPLAY_NAME",
    "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
    "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "category": "Malware: Malicious file on disk (YARA)",
    "createTime": "2023-01-05T00:37:38.450Z",
    "eventTime": "2023-01-05T01:12:48.828Z",
    "findingClass": "THREAT",
    "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
    "indicator": {
      "signatures": [
        {
          "yaraRuleSignature": {
            "yaraRule": "M_Backdoor_REDSONJA_4"
          },
          "signatureType": "SIGNATURE_TYPE_FILE",
        },
        {
          "yaraRuleSignature": {
            "yaraRule": "M_Backdoor_REDSONJA_3"
          },
          "signatureType": "SIGNATURE_TYPE_FILE",
        }
      ]
    },
    "mute": "UNDEFINED",
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
    "parentDisplayName": "Virtual Machine Threat Detection",
    "files": [
      {
        "diskPath": {
          "partition_uuid": "b411dc99-f0a0-4c87-9e05-184977be8539",
          "relative_path": "RELATIVE_PATH"
        },
        "size": "21238",
        "sha256": "65d860160bdc9b98abf72407e14ca40b609417de7939897d3b58d55787aaef69",
        "hashedSize": "21238"
      }
    ],
    "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
    "severity": "HIGH",
    "sourceDisplayName": "Virtual Machine Threat Detection",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
    "display_name": "DISPLAY_NAME",
    "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "project_display_name": "DISPLAY_NAME",
    "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "parent_display_name": "DISPLAY_NAME",
    "type": "google.compute.Instance",
    "folders": []
  },
  "sourceProperties": {}
}
    

Ergebnisstatus ändern

Wenn Sie von VM Threat Detection erkannte Bedrohungen beheben, legt der Dienst den Status eines Ergebnisses bei nachfolgenden Scans nicht automatisch auf Inaktiv fest. Aufgrund der Beschaffenheit unserer Bedrohungsdomain kann die VM Threat Detection nicht feststellen, ob eine Bedrohung beseitigt oder geändert wurde, um die Erkennung zu vermeiden.

Wenn Ihre Sicherheitsteams sicher sind, dass eine Bedrohung entschärft wurde, kann der Status der Ergebnisse mit folgenden Schritten auf "Inaktiv" geändert werden.

  1. Rufen Sie in der Google Cloud Console die Seite Ergebnisse des Security Command Center auf.

    Zu Ergebnissen

  2. Klicken Sie neben Anzeigen nach auf Quelltyp.

  3. Wählen Sie in der Liste Quelltyp die Option Bedrohungserkennung für virtuelle Maschinen aus. Die Tabelle enthält die Ergebnisse für den ausgewählten Quelltyp.

  4. Aktivieren Sie das Kästchen neben den Ergebnissen, die bearbeitet wurden.

  5. Klicken Sie auf Aktivitätsstatus ändern.

  6. Klicken Sie auf Inaktiv.

VM Bedrohungserkennung aktivieren oder deaktivieren

Die VM-Gefahrenerkennung ist standardmäßig für alle Kunden aktiviert, die sich nach dem 15. Juli 2022 für Security Command Center Premium registrieren. An diesem Tag wurde dieser Dienst allgemein verfügbar. Sie können die Funktion bei Bedarf manuell für Ihr Projekt oder Ihre Organisation deaktivieren oder wieder aktivieren.

Wenn Sie VM Threat Detection für eine Organisation oder ein Projekt aktivieren, scannt der Dienst automatisch alle unterstützten Ressourcen in dieser Organisation oder diesem Projekt. Umgekehrt gilt: Wenn Sie VM Bedrohungserkennung für eine Organisation oder ein Projekt deaktivieren, beendet der Dienst das Scannen aller unterstützten Ressourcen darin.

So aktivieren oder deaktivieren Sie VM Bedrohungserkennung:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Aktivierung des Dienstes zur Erkennung von VM-Bedrohungen auf.

    Zu „Dienstaktivierung“

  2. Wählen Sie in der Spalte Bedrohungserkennung für virtuelle Maschinen den aktuellen Status und dann eine der folgenden Optionen aus:

    • Aktivieren: VM Threat Detection aktivieren
    • Deaktivieren: Deaktivieren Sie die VM-Bedrohungserkennung.
    • Übernehmen: Der Aktivierungsstatus wird vom übergeordneten Ordner oder der übergeordneten Organisation übernommen. Nur für Projekte und Ordner verfügbar.

gcloud

Mit dem Befehl gcloud scc manage services update wird der Status eines Security Command Center-Dienstes oder -Moduls aktualisiert.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • RESOURCE_TYPE: der zu aktualisierende Ressourcentyp (organization, folder oder project)
  • RESOURCE_ID: Die numerische Kennung der Organisation, des Ordners oder des Projekts, das aktualisiert werden soll. Bei Projekten können Sie auch die alphanumerische Projekt-ID verwenden.
  • NEW_STATE: ENABLED, um die VM-Bedrohungserkennung zu aktivieren, DISABLED, um sie zu deaktivieren, oder INHERITED, um den Aktivierungsstatus der übergeordneten Ressource zu übernehmen (gilt nur für Projekte und Ordner)

Führen Sie den Befehl gcloud scc manage services update aus:

Linux, macOS oder Cloud Shell

gcloud scc manage services update vm-threat-detection \
    --RESOURCE_TYPE=RESOURCE_ID \
    --enablement-state=NEW_STATE

Windows (PowerShell)

gcloud scc manage services update vm-threat-detection `
    --RESOURCE_TYPE=RESOURCE_ID `
    --enablement-state=NEW_STATE

Windows (cmd.exe)

gcloud scc manage services update vm-threat-detection ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --enablement-state=NEW_STATE

Sie sollten eine Antwort ähnlich der folgenden erhalten:

effectiveEnablementState: ENABLED
modules:
  CRYPTOMINING_HASH:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CRYPTOMINING_YARA:
    effectiveEnablementState: ENABLED
  KERNEL_INTEGRITY_TAMPERING:
    effectiveEnablementState: ENABLED
  KERNEL_MEMORY_TAMPERING:
    effectiveEnablementState: ENABLED
  MALWARE_DISK_SCAN_YARA:
    effectiveEnablementState: ENABLED
name: projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection
updateTime: '2024-08-05T22:32:01.536452397Z'

REST

Mit der Methode RESOURCE_TYPE.locations.securityCenterServices.patch der Security Command Center Management API wird der Status eines Security Command Center-Dienstes oder -Moduls aktualisiert.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • RESOURCE_TYPE: der zu aktualisierende Ressourcentyp (organizations, folders oder projects)
  • QUOTA_PROJECT: die Projekt-ID, die für die Abrechnung und das Kontingent-Tracking verwendet werden soll
  • RESOURCE_ID: Die numerische Kennung der Organisation, des Ordners oder des Projekts, das aktualisiert werden soll. Bei Projekten können Sie auch die alphanumerische Projekt-ID verwenden.
  • NEW_STATE: ENABLED, um die VM-Bedrohungserkennung zu aktivieren, DISABLED, um sie zu deaktivieren, oder INHERITED, um den Aktivierungsstatus der übergeordneten Ressource zu übernehmen (nur für Projekte und Ordner gültig)

HTTP-Methode und URL:

PATCH https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/vm-threat-detection?updateMask=intendedEnablementState

JSON-Text anfordern:

{
  "intendedEnablementState": "NEW_STATE"
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Sie sollten in etwa folgende JSON-Antwort erhalten:

{
  "name": "projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "CRYPTOMINING_YARA": {
      "effectiveEnablementState": "ENABLED"
    },
    "KERNEL_MEMORY_TAMPERING": {
      "effectiveEnablementState": "ENABLED"
    },
    "KERNEL_INTEGRITY_TAMPERING": {
      "effectiveEnablementState": "ENABLED"
    },
    "CRYPTOMINING_HASH": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "MALWARE_DISK_SCAN_YARA": {
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2024-08-05T22:32:01.536452397Z"
}

VM Bedrohungserkennungs-Modul aktivieren oder deaktivieren

So aktivieren oder deaktivieren Sie einen einzelnen VM-Bedrohungserkennung-Detektor, auch Modul genannt: Änderungen an Einstellungen werden spätestens nach einer Stunde wirksam.

Informationen zu allen Bedrohungsergebnissen der VM Threat Detection und den Modulen, die sie generieren, finden Sie unter Bedrohungsergebnisse.

Console

In der Google Cloud Console können Sie VM-Bedrohungserkennungsmodule auf Ebene der Organisation aktivieren oder deaktivieren. Verwenden Sie die gcloud CLI oder die REST API, um VM-Bedrohungserkennungsmodule auf Ordner- oder Projektebene zu aktivieren oder zu deaktivieren.

  1. Rufen Sie in der Google Cloud Console die Seite Module zur Erkennung von Bedrohungen für virtuelle Maschinen auf.

    Zu den Modulen

  2. Wählen Sie in der Spalte Status den aktuellen Status des Moduls aus, das Sie aktivieren oder deaktivieren möchten, und dann eine der folgenden Optionen:

    • Aktivieren: Das Modul wird aktiviert.
    • Deaktivieren: Deaktivieren Sie das Modul.

gcloud

Mit dem Befehl gcloud scc manage services update wird der Status eines Security Command Center-Dienstes oder -Moduls aktualisiert.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • RESOURCE_TYPE: der zu aktualisierende Ressourcentyp (organization, folder oder project)
  • RESOURCE_ID: Die numerische Kennung der Organisation, des Ordners oder des Projekts, das aktualisiert werden soll. Bei Projekten können Sie auch die alphanumerische Projekt-ID verwenden.
  • MODULE_NAME: der Name des Moduls, das aktiviert oder deaktiviert werden soll. Gültige Werte finden Sie unter Ergebnisse zu Bedrohungen.
  • NEW_STATE: ENABLED, um das Modul zu aktivieren, DISABLED, um es zu deaktivieren, oder INHERITED, um den Aktivierungsstatus der übergeordneten Ressource zu übernehmen (nur für Projekte und Ordner gültig)

Speichern Sie den folgenden Inhalt in einer Datei mit dem Namen request.json:

{
  "MODULE_NAME": {
    "intendedEnablementState": "NEW_STATE"
  }
}

Führen Sie den Befehl gcloud scc manage services update aus:

Linux, macOS oder Cloud Shell

gcloud scc manage services update vm-threat-detection \
    --RESOURCE_TYPE=RESOURCE_ID \
    --enablement-state=ENABLED \  
    --module-config-file=request.json

Windows (PowerShell)

gcloud scc manage services update vm-threat-detection `
    --RESOURCE_TYPE=RESOURCE_ID `
    --enablement-state=ENABLED \  
    --module-config-file=request.json

Windows (cmd.exe)

gcloud scc manage services update vm-threat-detection ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --enablement-state=ENABLED \  
    --module-config-file=request.json

Sie sollten eine Antwort ähnlich der folgenden erhalten:

effectiveEnablementState: ENABLED
modules:
  CRYPTOMINING_HASH:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CRYPTOMINING_YARA:
    effectiveEnablementState: ENABLED
  KERNEL_INTEGRITY_TAMPERING:
    effectiveEnablementState: ENABLED
  KERNEL_MEMORY_TAMPERING:
    effectiveEnablementState: ENABLED
  MALWARE_DISK_SCAN_YARA:
    effectiveEnablementState: ENABLED
name: projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection
updateTime: '2024-08-05T22:32:01.536452397Z'

REST

Mit der Methode RESOURCE_TYPE.locations.securityCenterServices.patch der Security Command Center Management API wird der Status eines Security Command Center-Dienstes oder -Moduls aktualisiert.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • RESOURCE_TYPE: der zu aktualisierende Ressourcentyp (organizations, folders oder projects)
  • QUOTA_PROJECT: die Projekt-ID, die für die Abrechnung und das Kontingent-Tracking verwendet werden soll
  • RESOURCE_ID: Die numerische Kennung der Organisation, des Ordners oder des Projekts, das aktualisiert werden soll. Bei Projekten können Sie auch die alphanumerische Projekt-ID verwenden.
  • MODULE_NAME: der Name des Moduls, das aktiviert oder deaktiviert werden soll. Gültige Werte finden Sie unter Ergebnisse zu Bedrohungen.
  • NEW_STATE: ENABLED, um das Modul zu aktivieren, DISABLED, um es zu deaktivieren, oder INHERITED, um den Aktivierungsstatus der übergeordneten Ressource zu übernehmen (nur für Projekte und Ordner gültig)

HTTP-Methode und URL:

PATCH https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/vm-threat-detection?updateMask=modules

JSON-Text anfordern:

{
  "modules": {
    "MODULE_NAME": {
      "intendedEnablementState": "NEW_STATE"
    }
  }
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Sie sollten in etwa folgende JSON-Antwort erhalten:

{
  "name": "projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "CRYPTOMINING_YARA": {
      "effectiveEnablementState": "ENABLED"
    },
    "KERNEL_MEMORY_TAMPERING": {
      "effectiveEnablementState": "ENABLED"
    },
    "KERNEL_INTEGRITY_TAMPERING": {
      "effectiveEnablementState": "ENABLED"
    },
    "CRYPTOMINING_HASH": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "MALWARE_DISK_SCAN_YARA": {
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2024-08-05T22:32:01.536452397Z"
}

Einstellungen der VM Bedrohungserkennungs-Module ansehen

Informationen zu allen Bedrohungsergebnissen der VM Threat Detection und den Modulen, die sie generieren, finden Sie in der Tabelle Bedrohungsergebnisse.

Console

In der Google Cloud Console können Sie sich die Einstellungen für VM Threat Detection-Module auf Organisationsebene ansehen. Verwenden Sie die gcloud CLI oder die REST API, um sich die Einstellungen für die Module zur VM-Gefahrenerkennung auf Ordner- oder Projektebene anzusehen.

Rufen Sie in der Google Cloud Console die Seite Module zur Bedrohungserkennung für virtuelle Maschinen auf, um die Einstellungen aufzurufen.

Zu den Modulen

gcloud

Mit dem Befehl gcloud scc manage services update wird der Status eines Security Command Center-Dienstes oder -Moduls abgerufen.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • RESOURCE_TYPE: der abzurufende Ressourcentyp (organizations, folders oder projects)
  • QUOTA_PROJECT: die Projekt-ID, die für die Abrechnung und das Kontingent-Tracking verwendet werden soll
  • RESOURCE_ID: Die numerische Kennung der Organisation, des Ordners oder des Projekts, die bzw. das abgerufen werden soll. Bei Projekten können Sie auch die alphanumerische Projekt-ID verwenden.

Speichern Sie den folgenden Inhalt in einer Datei mit dem Namen request.json:

{
  "MODULE_NAME": {
    "intendedEnablementState": "NEW_STATE"
  }
}

Führen Sie den Befehl gcloud scc manage services update aus:

Linux, macOS oder Cloud Shell

gcloud scc manage services update vm-threat-detection \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud scc manage services update vm-threat-detection `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud scc manage services update vm-threat-detection ^
    --RESOURCE_TYPE=RESOURCE_ID

Sie sollten eine Antwort ähnlich der folgenden erhalten:

effectiveEnablementState: ENABLED
modules:
  CRYPTOMINING_HASH:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CRYPTOMINING_YARA:
    effectiveEnablementState: ENABLED
  KERNEL_INTEGRITY_TAMPERING:
    effectiveEnablementState: ENABLED
  KERNEL_MEMORY_TAMPERING:
    effectiveEnablementState: ENABLED
  MALWARE_DISK_SCAN_YARA:
    effectiveEnablementState: ENABLED
name: projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection
updateTime: '2024-08-05T22:32:01.536452397Z'

REST

Mit der Methode RESOURCE_TYPE.locations.securityCenterServices.get der Security Command Center Management API wird der Status eines Security Command Center-Dienstes oder -Moduls abgerufen.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • RESOURCE_TYPE: der abzurufende Ressourcentyp (organizations, folders oder projects)
  • QUOTA_PROJECT: die Projekt-ID, die für die Abrechnung und das Kontingent-Tracking verwendet werden soll
  • RESOURCE_ID: Die numerische Kennung der Organisation, des Ordners oder des Projekts, die bzw. das abgerufen werden soll. Bei Projekten können Sie auch die alphanumerische Projekt-ID verwenden.

HTTP-Methode und URL:

GET https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/vm-threat-detection

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Sie sollten in etwa folgende JSON-Antwort erhalten:

{
  "name": "projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "CRYPTOMINING_YARA": {
      "effectiveEnablementState": "ENABLED"
    },
    "KERNEL_MEMORY_TAMPERING": {
      "effectiveEnablementState": "ENABLED"
    },
    "KERNEL_INTEGRITY_TAMPERING": {
      "effectiveEnablementState": "ENABLED"
    },
    "CRYPTOMINING_HASH": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "MALWARE_DISK_SCAN_YARA": {
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2024-08-05T22:32:01.536452397Z"
}

Softwarenamen und YARA-Regeln für die Erkennung von Kryptowährungs-Mining

Die folgenden Listen enthalten die Namen von Binärdateien und YARA-Regeln, die Ergebnisse für Kryptowährungs-Mining auslösen. Maximieren Sie die Knoten, um die Listen aufzurufen.

Execution: Cryptocurrency Mining Hash Match

  • Arionum CPU Miner: Mining-Software für die Arionum-Kryptowährung
  • Avermore: Mining-Software für Scrypt-basierte Kryptowährungen
  • Beam CUDA Miner: Mining-Software für Equihash-basierte Kryptowährungen
  • Beam OpenCL Miner: Mining-Software für Equihash-basierte Kryptowährungen
  • BFGMiner: ASIC-/FPGA-basierte Mining-Software für Bitcoin
  • BMiner: Mining-Software für verschiedene Kryptowährungen
  • Cast XMR: Mining-Software für CryptoNight-basierte Kryptowährungen
  • ccminer: CUDA-basierte Mining-Software
  • cgminer: ASIC/FPGA-basierte Mining-Software für Bitcoin
  • Claymore's Miner: GPU-basierte Mining-Software für verschiedene Kryptowährungen
  • CPUMiner: Familie CPU-basierter Mining-Software
  • CryptoDredge: Mining-Softwarefamilie für CryptoDredge
  • CryptoGoblin: Mining-Software für CryptoNight-basierte Kryptowährungen
  • DamoMiner: GPU-basierte Mining-Software für Ethereum und andere Kryptowährungen
  • DigitsMiner: Mining-Software für Digits
  • EasyMiner: Mining-Software für Bitcoin und andere Kryptowährungen
  • Ethminer: Mining-Software für Ethereum und andere Kryptowährungen
  • EWBF: Mining-Software für Equihash-basierte Kryptowährungen
  • FinMiner: Mining-Software für Ethash- und CryptoNight-basierte Kryptowährungen
  • Funakoshi Miner: Mining-Software für Bitcoin-Gold-Kryptowährungen
  • Geth: Mining-Software für Ethereum
  • GMiner: Mining-Software für verschiedene Kryptowährungen
  • gominer: Mining-Software für Decred
  • GrinGoldMiner: Mining-Software für Grin
  • Hush: Mining-Software für Zcash-basierte Kryptowährungen
  • IxiMiner: Mining-Software für Ixian
  • kawpowminer: Mining-Software für Ravencoin
  • Komodo: Mining-Softwarefamilie für Komodo
  • lolMiner: Mining-Software für verschiedene Kryptowährungen
  • lukMiner: Mining-Software für verschiedene Kryptowährungen
  • MinerGate: Mining-Software für verschiedene Kryptowährungen
  • miniZ: Mining-Software für Equihash-basierte Kryptowährungen
  • Mirai: Malware, die zum Mining von Kryptowährungen verwendet werden kann
  • MultiMiner: Mining-Software für verschiedene Kryptowährungen
  • nanominer: Mining-Software für verschiedene Kryptowährungen
  • NBMiner: Mining-Software für verschiedene Kryptowährungen
  • Nevermore: Mining-Software für verschiedene Kryptowährungen
  • nheqminer: Mining-Software für NiceHash
  • NinjaRig: Mining-Software für Argon2-basierte Kryptowährungen
  • NodeCore PoW CUDA Miner: Mining-Software für VeriBlock
  • NoncerPro: Mining-Software für Nimiq
  • Optiminer/Equihash: Mining-Software für Equihash-basierte Kryptowährungen
  • PascalCoin: Mining-Softwarefamilie für PascalCoin
  • PhoenixMiner: Mining-Software für Ethereum
  • Pooler CPU Miner: Mining-Software für Litecoin und Bitcoin
  • ProgPoW Miner: Mining-Software für Ethereum und andere Kryptowährungen
  • rhminer: Mining-Software für PascalCoin
  • sgminer: Mining-Software für Scrypt-basierte Kryptowährungen
  • simplecoin: Mining-Softwarefamilie für Scrypt-basiertes SimpleCoin
  • Skypool Nimiq Miner: Mining-Software für Nimiq
  • SwapReferenceMiner: Mining-Software für Grin
  • Team Red Miner: AMD-basierte Mining-Software für verschiedene Kryptowährungen
  • T-Rex: Mining-Software für verschiedene Kryptowährungen
  • TT-Miner: Mining-Software für verschiedene Kryptowährungen
  • Ubqminer: Mining-Software für Ubqhash-basierte Kryptowährungen
  • VersusCoin: Mining-Software für VersusCoin
  • violetminer: Mining-Software für Argon2-basierte Kryptowährungen
  • webchain-miner: Mining-Software für MintMe
  • WildRig: Mining-Software für verschiedene Kryptowährungen
  • XCASH_ALL_Miner: Mining-Software für XCASH
  • xFash: Mining-Software für MinerGate
  • XLArig: Mining-Software für CryptoNight-basierte Kryptowährungen
  • XMRig: Mining-Software für verschiedene Kryptowährungen
  • Xmr-Stak: Mining-Software für CryptoNight-basierte Kryptowährungen
  • XMR-Stak TurtleCoin: Mining-Software für CryptoNight-basierte Kryptowährungen
  • Xtl-Stak: Mining-Software für CryptoNight-basierte Kryptowährungen
  • Yam Miner: Mining-Software für MinerGate
  • YCash: Mining-Software für YCash
  • ZCoin: Mining-Software für ZCoin/Fire
  • Zealot/Enemy: Mining-Software für verschiedene Kryptowährungen
  • Kryptowährungs-Miner-Signal1

1 Dieser allgemeine Bedrohungsname gibt an, dass ein unbekannter Cryptocurrency-Miner möglicherweise in der VM ausgeführt wird, die VM Threat Detection jedoch keine spezifischen Informationen über den Miner hat.

Execution: Cryptocurrency Mining YARA Rule

  • YARA_RULE1: entspricht einer Mining-Software für Monero
  • YARA_RULE9: entspricht Mining-Software, die Blake2- und AES-Chiffren verwendet
  • YARA_RULE10: entspricht einer Mining-Software, die die Proof of Work-Routine von CryptoNight verwendet
  • YARA_RULE15: entspricht einer Mining-Software für NBMiner
  • YARA_RULE17: entspricht einer Mining-Software, die die Proof of Work-Routine von Scrypt verwendet
  • YARA_RULE18: entspricht einer Mining-Software, die die Proof of Work-Routine von Scrypt verwendet
  • YARA_RULE19: entspricht einer Mining-Software für BFGMiner
  • YARA_RULE24: entspricht einer Mining-Software für XMR-Stak
  • YARA_RULE25: entspricht einer Mining-Software für XMRig
  • DYNAMIC_YARA_RULE_BFGMINER_2: entspricht einer Mining-Software für BFGMiner

Nächste Schritte