Questa pagina descrive come visualizzare e gestire i risultati di VM Threat Detection. Inoltre, mostra come abilitare o disabilitare il servizio e i suoi moduli.
Panoramica
Virtual Machine Threat Detection, un servizio integrato di Security Command Center Premium, il rilevamento delle minacce attraverso la strumentazione a livello di hypervisor e i disco permanente e analisi. VM Threat Detection rileva applicazioni potenzialmente dannose, come software di mining di criptovaluta, rootkit in modalità kernel e malware in esecuzione degli ambienti cloud compromessi.
VM Threat Detection fa parte del rilevamento delle minacce di Security Command Center Premium ed è progettato per integrare le funzionalità esistenti di Event Threat Detection e Container Threat Detection.
Per ulteriori informazioni, consulta la panoramica di VM Threat Detection.
Costi
Dopo la registrazione a Security Command Center Premium, non sono previsti costi aggiuntivi per per utilizzare VM Threat Detection.
Prima di iniziare
Per utilizzare questa funzionalità, devi aver effettuato la registrazione a Security Command Center Premium.
Inoltre, per la visualizzazione o la modifica, devi disporre di ruoli IAM (Identity and Access Management) adeguati i risultati e modificare le risorse Google Cloud. Se si verificano errori di accesso in Security Command Center, chiedi assistenza al tuo amministratore. Per scoprire di più su vedi Controllo dell'accesso.
Testa il rilevamento delle minacce per VM
Per testare il rilevamento del mining di criptovaluta di VM Threat Detection, puoi eseguire un di criptovaluta sulla tua VM. Per un elenco di nomi binari regole YARA che risultati dei trigger, consulta Nomi software e YARA personalizzate. Se installi e testi applicazioni di mining, ti consigliamo di eseguire le applicazioni solo in un ambiente di test isolato, monitorano attentamente il loro utilizzo e rimuovili completamente dopo il test.
Per testare il rilevamento del malware di VM Threat Detection, puoi scaricare un malware delle applicazioni sulla tua VM. Se scarichi malware, ti consigliamo di farlo in un ambiente di test isolato e rimuovili completamente dopo test.
Esamina i risultati nella console Google Cloud
Per esaminare i risultati di VM Threat Detection nella console Google Cloud, procedi nel seguente modo:
Vai alla pagina Risultati di Security Command Center nella console Google Cloud.
Se necessario, seleziona il progetto o l'organizzazione Google Cloud.
Nella sezione Filtri rapidi, nella sottosezione Nome visualizzato origine, Seleziona Virtual Machine Threat Detection.
Se non vedi Virtual Machine Threat Detection, fai clic su Mostra altro. Nella finestra di dialogo, cerca Rilevamento delle minacce alle macchine virtuali.
Per visualizzare i dettagli di un risultato specifico, fai clic sul suo nome sotto Categoria. Si apre il riquadro dei dettagli del risultato che viene visualizzato la scheda Riepilogo.
Nella scheda Riepilogo, esamina le informazioni sul risultato, incluse informazioni sul file binario rilevato, la risorsa interessato e altro ancora.
Nel riquadro dei dettagli, fai clic sulla scheda JSON per visualizzare il file JSON completo per trovare il risultato.
Per informazioni più dettagliate su come rispondere a ogni risultato di VM Threat Detection, consulta Risposta di VM Threat Detection.
Per un elenco dei risultati di VM Threat Detection, consulta Risultati.
Gravità
I risultati di VM Threat Detection sono assegnati su Alta, Media e Bassa della gravità in base alla confidenza della classificazione delle minacce.
Rilevamenti combinati
I rilevamenti combinati si verificano quando vengono rilevate più categorie di risultati
entro un giorno. I risultati possono essere causati da uno o più
diverse applicazioni. Ad esempio, una singola applicazione può attivare contemporaneamente
Execution: Cryptocurrency Mining YARA Rule e Execution: Cryptocurrency
Mining Hash Match risultati. Tuttavia, tutte le minacce rilevate da un'unica fonte
nello stesso giorno vengono raggruppati in un risultato di rilevamento combinato. Nella
giorni seguenti, se vengono rilevate altre minacce, anche le stesse, vengono
associati a nuovi risultati.
Per un esempio di risultato del rilevamento combinato, consulta Esempio di risultato. formati personalizzati.
Esempi di formati dei risultati
Questi esempi di output JSON contengono campi comuni a VM Threat Detection i risultati. Ogni esempio mostra solo i campi pertinenti al tipo di risultato. questo elemento non fornisce un elenco esaustivo campi.
Puoi esportare i risultati tramite Security Command Center dashboard o elenco tramite l'API Security Command Center.
Per visualizzare gli esempi di risultati, espandi uno o più dei seguenti nodi. Per
informazioni su ogni campo nel risultato, vedi
Finding.
Defense Evasion: RootkitAnteprima
Questo esempio di output mostra il risultato di un rootkit in modalità kernel noto: Diamorphine.
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Rootkit",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {
"name": "Diamorphine",
"unexpected_kernel_code_pages": true,
"unexpected_system_call_handler": true
},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "HIGH",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Defense Evasion: Unexpected ftrace handlerAnteprima
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Unexpected ftrace handler",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "MEDIUM",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Defense Evasion: Unexpected interrupt handlerAnteprima
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Unexpected interrupt handler",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "MEDIUM",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Defense Evasion: Unexpected kernel code modificationAnteprima
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Unexpected kernel code modification",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "MEDIUM",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Defense Evasion: Unexpected kernel modulesAnteprima
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Unexpected kernel modules",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "MEDIUM",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Defense Evasion: Unexpected kernel read-only data modificationAnteprima
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Unexpected kernel read-only data modification",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "MEDIUM",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Defense Evasion: Unexpected kprobe handlerAnteprima
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Unexpected kprobe handler",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "MEDIUM",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Defense Evasion: Unexpected processes in runqueueAnteprima
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Unexpected processes in runqueue",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "MEDIUM",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Defense Evasion: Unexpected system call handlerAnteprima
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Unexpected system call handler",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "MEDIUM",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Execution: Cryptocurrency Mining Combined
Detection
Questo esempio di output mostra una minaccia rilevata sia dalla
CRYPTOMINING_HASH e CRYPTOMINING_YARA moduli.
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Execution: Cryptocurrency Mining Combined Detection",
"createTime": "2023-01-05T01:40:48.994Z",
"database": {},
"eventTime": "2023-01-05T01:39:36.876Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {
"signatures": [
{
"yaraRuleSignature": {
"yaraRule": "YARA_RULE1"
}
},
{
"yaraRuleSignature": {
"yaraRule": "YARA_RULE9"
}
},
{
"yaraRuleSignature": {
"yaraRule": "YARA_RULE10"
}
},
{
"yaraRuleSignature": {
"yaraRule": "YARA_RULE25"
}
},
{
"memoryHashSignature": {
"binaryFamily": "XMRig",
"detections": [
{
"binary": "linux-x86-64_xmrig_6.12.2",
"percentPagesMatched": 1
}
]
}
}
]
},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [
{
"binary": {
"path": "BINARY_PATH"
},
"script": {},
"args": [
"./miner",
""
],
"pid": "123",
"parentPid": "456",
"name": "miner"
}
],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "HIGH",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"project_display_name": "DISPLAY_NAME",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Execution: Cryptocurrency Mining Hash Match
Detection
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Execution: Cryptocurrency Mining Hash Match",
"createTime": "2023-01-05T01:40:48.994Z",
"database": {},
"eventTime": "2023-01-05T01:39:36.876Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {
"signatures": [
{
"memoryHashSignature": {
"binaryFamily": "XMRig",
"detections": [
{
"binary": "linux-x86-64_xmrig_6.12.2",
"percentPagesMatched": 1
}
]
}
}
]
},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [
{
"binary": {
"path": "BINARY_PATH"
},
"script": {},
"args": [
"./miner",
""
],
"pid": "123",
"parentPid": "456",
"name": "miner"
}
],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "HIGH",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"project_display_name": "DISPLAY_NAME",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Execution: Cryptocurrency Mining YARA Rule
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Execution: Cryptocurrency Mining YARA Rule",
"createTime": "2023-01-05T00:37:38.450Z",
"database": {},
"eventTime": "2023-01-05T01:12:48.828Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {
"signatures": [
{
"yaraRuleSignature": {
"yaraRule": "YARA_RULE9"
}
},
{
"yaraRuleSignature": {
"yaraRule": "YARA_RULE10"
}
},
{
"yaraRuleSignature": {
"yaraRule": "YARA_RULE25"
}
}
]
},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [
{
"binary": {
"path": "BINARY_PATH"
},
"script": {},
"args": [
"./miner",
""
],
"pid": "123",
"parentPid": "456",
"name": "miner"
}
],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "HIGH",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"project_display_name": "DISPLAY_NAME",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Malware: Malicious file on disk (YARA)
{
"findings": {
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Malware: Malicious file on disk (YARA)",
"createTime": "2023-01-05T00:37:38.450Z",
"eventTime": "2023-01-05T01:12:48.828Z",
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {
"signatures": [
{
"yaraRuleSignature": {
"yaraRule": "M_Backdoor_REDSONJA_1"
},
"signatureType": "SIGNATURE_TYPE_FILE",
},
{
"yaraRuleSignature": {
"yaraRule": "M_Backdoor_REDSONJA_2"
},
"signatureType": "SIGNATURE_TYPE_FILE",
}
]
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"files": [
{
"diskPath": {
"partition_uuid": "b411dc99-f0a0-4c87-9e05-184977be8539",
"relative_path": "RELATIVE_PATH"
},
"size": "21238",
"sha256": "65d860160bdc9b98abf72407e14ca40b609417de7939897d3b58d55787aaef69",
"hashedSize": "21238"
}
],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "HIGH",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"project_display_name": "DISPLAY_NAME",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Modifica lo stato dei risultati
Quando risolvi le minacce identificate da VM Threat Detection, il servizio non imposta automaticamente lo stato di un risultato su Inattivo nelle scansioni successive. A causa di la natura del nostro dominio di minaccia, VM Threat Detection non è in grado di determinare se è mitigato o è stato modificato per evitare il rilevamento.
Se i team di sicurezza sono convinti che una minaccia sia mitigata, possono segui questi passaggi per modificare lo stato dei risultati in non attivo.
Vai alla pagina Risultati di Security Command Center nella console Google Cloud.
Accanto a Visualizza per, fai clic su Tipo di origine.
Nell'elenco Tipo di origine, seleziona Virtual Machine Threat Detection. R si compila con i risultati per il tipo di origine selezionato.
Seleziona la casella di controllo accanto ai risultati risolti.
Fai clic su Modifica stato attivo.
Fai clic su Non attivo.
Abilita o disabilita VM Threat Detection
VM Threat Detection è abilitato per impostazione predefinita per tutti i clienti che si registrano Security Command Center Premium dopo il 15 luglio 2022, quando questo servizio è diventato generalmente disponibile. Se necessario, puoi disattivarlo o riattivarlo manualmente per il tuo progetto o la tua organizzazione.
Quando abiliti VM Threat Detection su un'organizzazione o un progetto, il servizio esegue automaticamente la scansione di tutte le risorse supportate in quell'organizzazione o progetto. Al contrario, quando disabiliti VM Threat Detection su un'organizzazione o un progetto, il servizio interrompe la scansione a tutte le risorse supportate.
Per abilitare o disabilitare VM Threat Detection, segui questi passaggi:
Console
Nella console Google Cloud, puoi abilitare o disabilitare VM Threat Detection tramite la scheda Servizi nella pagina Impostazioni.
Per ulteriori informazioni, vedi Attivare o disattivare un servizio integrato.
cURL
Invia una richiesta PATCH:
curl -X PATCH -H "Authorization: Bearer \"$(gcloud auth print-access-token)\"" \
-H "Content-Type: application/json; charset=utf-8" \
-H "X-Goog-User-Project: X_GOOG_USER_PROJECT" \
https://securitycenter.googleapis.com/v1beta2/RESOURCE/RESOURCE_ID/virtualMachineThreatDetectionSettings \
-d '{"serviceEnablementState": "NEW_STATE"}'
Sostituisci quanto segue:
- X_GOOG_USER_PROJECT: il progetto da fatturare per i costi di accesso associate alle scansioni di VM Threat Detection.
- RESOURCE: tipo di risorsa da analizzare (
organizationsoprojects). - RESOURCE_ID: l'identificatore dell'organizzazione o del progetto su cui vuoi abilitare o disabilitare VM Threat Detection.
- NEW_STATE: lo stato in cui vuoi che si trovi VM Threat Detection
(
ENABLEDoDISABLED).
gcloud
Esegui questo comando:
gcloud alpha scc settings services ACTION --RESOURCE RESOURCE_ID \
--service VIRTUAL_MACHINE_THREAT_DETECTION
Sostituisci quanto segue:
- ACTION: l'azione che vuoi eseguire sulla VM Threat Detection
(
enableodisable). - RESOURCE: il tipo di risorsa che vuoi abilitare o disabilitare
VM Threat Detection attivato (
organizationoproject). - RESOURCE_ID: l'identificatore dell'organizzazione o del progetto su cui vuoi abilitare o disabilitare VM Threat Detection.
Abilita o disabilita un modulo VM Threat Detection
Per abilitare o disabilitare un singolo rilevatore VM Threat Detection, noto anche come module, procedi nel seguente modo. L'applicazione delle modifiche può richiedere fino a un'ora effetto.
Per informazioni su tutti i risultati delle minacce di VM Threat Detection e sui moduli che le generano, consulta l'articolo Minaccia risultati .
Console
cURL
Per abilitare o disabilitare un modulo VM Threat Detection nella tua organizzazione oppure
progetto, invia una richiesta PATCH:
curl -X PATCH -H "Authorization: Bearer \"$(gcloud auth print-access-token)\"" \
-H "Content-Type: application/json; charset=utf-8" \
-H "X-Goog-User-Project: X_GOOG_USER_PROJECT" \
https://securitycenter.googleapis.com/v1beta2/RESOURCE/RESOURCE_ID/virtualMachineThreatDetectionSettings \
-d '{"modules": {"MODULE": {"module_enablement_state": "NEW_STATE"}}}'
Sostituisci quanto segue:
- X_GOOG_USER_PROJECT: il progetto a cui vengono addebitati i costi di accesso associate alle scansioni di VM Threat Detection.
- RESOURCE: il tipo di risorsa per il quale vuoi abilitare o disabilitare
modulo su (
organizationsoprojects). - RESOURCE_ID: l'ID dell'organizzazione o del progetto che vuoi attivare o disattivare il modulo.
- MODULE: il modulo che vuoi attivare o disattivare, per
ad esempio
CRYPTOMINING_HASH. - NEW_STATE: lo stato in cui vuoi che si trovi il modulo (
ENABLEDoDISABLED).
gcloud
Per abilitare o disabilitare un modulo VM Threat Detection nella tua organizzazione oppure esegui questo comando:
gcloud alpha scc settings services modules ACTION --RESOURCE RESOURCE_ID \
--service VIRTUAL_MACHINE_THREAT_DETECTION --module MODULE
Sostituisci quanto segue:
- ACTION: l'azione che vuoi eseguire nel modulo (
enableodisable). - RESOURCE: il tipo di risorsa per il quale vuoi abilitare o disabilitare
modulo su (
organizationoproject). - RESOURCE_ID: l'ID dell'organizzazione o del progetto che vuoi attivare o disattivare il modulo.
- MODULE: il modulo che vuoi attivare o disattivare, per
ad esempio
CRYPTOMINING_HASH.
Visualizza le impostazioni dei moduli VM Threat Detection
Per informazioni su tutti i risultati delle minacce di VM Threat Detection e sui moduli che le generano, consulta l'articolo Minaccia risultati .
Console
cURL
Invia una richiesta GET:
curl -X GET -H "Authorization: Bearer \"$(gcloud auth print-access-token)\"" \
-H "Content-Type: application/json; charset=utf-8" \
-H "X-Goog-User-Project: X_GOOG_USER_PROJECT" \
https://securitycenter.googleapis.com/v1beta2/RESOURCE/RESOURCE_ID/virtualMachineThreatDetectionSettings:calculate
Sostituisci quanto segue:
- X_GOOG_USER_PROJECT: il progetto a cui vengono addebitati i costi di accesso associate alle scansioni di VM Threat Detection.
- RESOURCE: il tipo di risorsa per cui vuoi visualizzare impostazioni del modulo.
- RESOURCE_ID: l'ID dell'organizzazione o del progetto per il quale vuoi vedere le impostazioni del modulo.
gcloud
Per visualizzare le impostazioni per un singolo modulo, esegui questo comando:
gcloud alpha scc settings services modules describe --RESOURCE RESOURCE_ID \
--service VIRTUAL_MACHINE_THREAT_DETECTION --module MODULE
Per visualizzare le impostazioni per tutti i moduli, esegui questo comando:
gcloud alpha scc settings services describe --RESOURCE RESOURCE_ID \
--service VIRTUAL_MACHINE_THREAT_DETECTION
Sostituisci quanto segue:
- RESOURCE: il tipo di risorsa per cui vuoi visualizzare
impostazioni del modulo (
organizationoproject). - RESOURCE_ID: l'ID dell'organizzazione o del progetto per il quale vuoi vedere le impostazioni del modulo.
- MODULE: il modulo che vuoi visualizzare per
ad esempio
CRYPTOMINING_HASH.
Nomi di software e regole YARA per il rilevamento del mining di criptovalute
I seguenti elenchi includono i nomi dei file binari e delle regole YARA che attivano risultati relativi al mining di criptovaluta. Per visualizzare gli elenchi, espandi i nodi.
Execution: Cryptocurrency Mining Hash Match
- Miner CPU Arionum: software di mining per Arionum criptovaluta
- Avermore software di mining per criptovalute basate su scrypt
- Miner CUDA Beam: software di mining per criptovalute basate su Equihash
- Miner OpenCL Beam: software di mining per criptovalute basate su Equihash
- BFGMiner: Software di mining basato su ASIC/FPGA per Bitcoin
- BMiner: software di mining per varie criptovalute
- Trasmetti XMR: di software di mining In base a CryptoNight criptovalute
- ccminer: Software di mining basato su CUDA
- cgminer: software di mining basato su ASIC/FPGA per Bitcoin
- Miner di Claymore: software di mining basato su GPU per varie criptovalute
- CPUMiner: famiglia di software di mining basati su CPU
- CryptoDredge: di software di mining per CryptoDredge
- CryptoGoblin di software di mining . Criptovalute basate su CryptoNight
- DamoMiner: Software di mining basato su GPU Ethereum e altre criptovalute
- DigitsMiner: di software di mining Cifre
- EasyMiner: software di mining per Bitcoin e altre criptovalute
- Ethminer: di software di mining Ethereum e altre criptovalute
- EWBF: software di mining per criptovalute basate su Equihash.
- FinMiner: di software di mining per Ethash e . Criptovalute basate su CryptoNight
- Minatore di Funakoshi: di software di mining Bitcoin-Oro criptovalute
- Geth: di software di mining Ethereum
- GMiner: software di mining per varie criptovalute
- gominer: di software di mining Dichiarato
- GrinGoldMiner: di software di mining Grande
- Silenzia: di software di mining In base a Zcash criptovalute
- IxiMiner di software di mining Xian
- kawpowminer: di software di mining Corona
- Komodo: famiglia di software minerari per Komodo
- lolMiner: software di mining per varie criptovalute
- lukMiner: software di mining per varie criptovalute
- MinerGate software di mining per varie criptovalute
- miniZ software di mining per criptovalute basate su Equihash
- Mirai: malware che può essere utilizzato per eseguire il mining di criptovalute
- MultiMiner: software di mining per varie criptovalute
- nanomier: software di mining per varie criptovalute
- NBMiner: software di mining per varie criptovalute
- Mai più: software di mining per varie criptovalute
- Nheqminer: di software di mining NiceHash
- NinjaRig: software di mining per criptovalute basate su Argon2
- Miner CUDA NodeCore PoW: di software di mining VeriBlock
- NoncerPro: di software di mining Nimiq
- Optiminer/Equihash: software di mining per criptovalute basate su Equihash.
- PascalCoin: famiglia di software di mining per PascalCoin
- PhoenixMiner: di software di mining Ethereum
- Miner CPU pooler: di software di mining Litecoin e Bitcoin
- Miner ProgPoW: di software di mining Ethereum e altre criptovalute
- rhminer: di software di mining PascalCoin
- sgminer: software di mining per criptovalute basate su scrypt
- simplecoin: famiglia di software di mining per SimpleCoin basato su scrypt
- Minatore Skypool Nimiq: di software di mining Nimiq
- SwapReferenceMiner: di software di mining Grande
- Red Miner Team: Software di mining basato su AMD per varie criptovalute
- T-Rex software di mining per varie criptovalute
- TT-Miner: software di mining per varie criptovalute
- Ubqminer: software di mining per criptovalute basate su Ubqhash.
- VersusCoin: software di mining per VersusCoin
- violetminer: software di mining per criptovalute basate su Argon2
- webchain-miner: di software di mining MintMe
- WildRig software di mining per varie criptovalute
- XCASH_ALL_Miner: di software di mining XCASH
- xFash: software di mining per MinerGate
- XLArig: di software di mining . Criptovalute basate su CryptoNight
- XMRig: software di mining per varie criptovalute
- Xmr-Stak di software di mining . Criptovalute basate su CryptoNight
- XMR-Stak TurtleCoin: di software di mining . Criptovalute basate su CryptoNight
- Xtl-Stak di software di mining . Criptovalute basate su CryptoNight
- Yam Miner: software di mining per MinerGate
- YCash: software di mining per YCash
- ZCoin: software di mining per ZCoin/Fire
- Zealot/Enemy: software di mining per varie criptovalute
- Indicatore del miner di criptovalute1
1 Questo nome generico della minaccia indica che una minaccia sconosciuta il miner di criptovaluta potrebbe essere operativo nella VM, ma VM Threat Detection non ha informazioni specifiche sul minatore.
Execution: Cryptocurrency Mining YARA Rule
- YARA_RULE1: corrisponde al software di mining per Monero
- YARA_RULE9: corrisponde al software di mining che utilizza Blake2 e AES cifrario
- YARA_RULE10: corrisponde al software di mining che utilizza . Routine di prova del lavoro CryptoNight
- YARA_RULE15: corrisponde al software di mining per NBMiner
- YARA_RULE17: corrisponde al software di mining che utilizza . Scritta la routine di prova del lavoro
- YARA_RULE18: corrisponde al software di mining che utilizza . Scritta la routine di prova del lavoro
- YARA_RULE19: corrisponde al software di mining per BFGMiner
- YARA_RULE24: corrisponde al software di mining per XMR-Stak
- YARA_RULE25: corrisponde al software di mining per XMRig
- DYNAMIC_YARA_RULE_BFGMINER_2: corrisponde al software di mining per BFGMiner
Passaggi successivi
- Scopri di più su VM Threat Detection.
- Scopri come esaminare i risultati di VM Threat Detection.