Auf dieser Seite wird beschrieben, wie Sie VM Threat Detection-Ergebnisse aufrufen und verwalten. Außerdem erfahren Sie, wie Sie den Dienst und seine Module aktivieren oder deaktivieren.
Überblick
Virtual Machine Threat Detection, ein integrierter Dienst von Security Command Center Premium, bietet Bedrohungserkennung über Instrumentierung auf Hypervisor-Ebene und die Analyse nichtflüchtiger Speicher. VM Threat Detection erkennt potenziell schädliche Anwendungen wie Mining-Software für Kryptowährungen, Rootkits im Kernelmodus und Malware, die in manipulierten Cloud-Umgebungen ausgeführt wird.
VM Threat Detection ist Teil der Bedrohungserkennungs-Suite der Premium-Version von Security Command Center und ergänzt die vorhandenen Funktionen von Event Threat Detection und Container Threat Detection.
Weitere Informationen finden Sie unter VM Bedrohungserkennung – Übersicht.
Kosten
Nach der Registrierung für die Premium-Version des Security Command Center entstehen keine zusätzlichen Kosten für die Verwendung von VM Threat Detection.
Hinweise
Um diese Funktion verwenden zu können, müssen Sie für Security Command Center Premium registriert sein.
Darüber hinaus benötigen Sie ausreichende IAM-Rollen (Identity and Access Management), um Ergebnisse aufzurufen oder zu bearbeiten und Google Cloud-Ressourcen zu ändern. Wenn im Security Command Center Zugriffsfehler auftreten, wenden Sie sich an Ihren Administrator. Weitere Informationen zu Rollen finden Sie unter Zugriffssteuerung.
VM Threat Detection testen
Um die Erkennung von Krypto-Mining durch VM Threat Detection zu testen, können Sie eine Krypto-Mining-Anwendung auf Ihrer VM ausführen. Eine Liste der Binärnamen und YARA-Regeln, die Ergebnisse auslösen, finden Sie unter Softwarenamen und YARA-Regeln. Wenn Sie Mining-Anwendungen installieren und testen, empfehlen wir, Anwendungen nur in einer isolierten Testumgebung auszuführen, ihre Verwendung genau zu überwachen und nach dem Test vollständig zu entfernen.
Sie können Malware-Anwendungen auf Ihre VM herunterladen, um die Malwareerkennung von VM Threat Detection zu testen. Wenn Sie Malware herunterladen, empfehlen wir, dies in einer isolierten Testumgebung zu tun und sie nach dem Test vollständig zu entfernen.
Ergebnisse in der Google Cloud Console prüfen
So prüfen Sie die Ergebnisse der VM Threat Detection in der Google Cloud Console:
Wechseln Sie in der Google Cloud Console zur Seite Ergebnisse des Security Command Center.
Wählen Sie gegebenenfalls Ihr Google Cloud-Projekt oder Ihre Organisation aus.
Wählen Sie im Abschnitt Schnellfilter im Unterbereich Anzeigename der Quelle die Option Bedrohungserkennung für virtuelle Maschinen aus.
Wenn Sie Virtual Machine Threat Detection nicht sehen, klicken Sie auf View more (Mehr anzeigen). Suchen Sie im Dialogfeld nach Bedrohungserkennung für virtuelle Maschinen.
Klicken Sie auf den Namen des Ergebnisses unter Kategorie, um Details zu einem bestimmten Ergebnis aufzurufen. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.
Prüfen Sie auf dem Tab Zusammenfassung die Informationen zum Ergebnis, einschließlich Informationen über das erkannte Binärprogramm, die betroffene Ressource und mehr.
Klicken Sie im Detailbereich auf den Tab JSON, um die vollständige JSON-Datei für das Ergebnis anzusehen.
Ausführlichere Informationen zur Reaktion auf jedes VM Threat Detection-Ergebnis finden Sie unter VM Threat Detection-Antwort.
Eine Liste der Ergebnisse von VM Threat Detection finden Sie unter Ergebnisse.
Schweregrad
Die Ergebnisse der VM-Bedrohungserkennung erhalten je nach Konfidenz der Bedrohungsklassifizierung einen Schweregrad Hoch, Mittel und Niedrig.
Kombinierte Erkennungen
Kombinierte Erkennungen treten auf, wenn mehrere Ergebniskategorien innerhalb eines Tages erkannt werden. Die Ergebnisse können von einer oder mehreren schädlichen Anwendungen verursacht worden sein. Beispiel: Eine einzelne Anwendung kann gleichzeitig Execution: Cryptocurrency Mining YARA Rule- und Execution: Cryptocurrency
Mining Hash Match-Ergebnisse auslösen. Es werden aber alle Bedrohungen, die von einer einzigen Quelle innerhalb desselben Tages erkannt wurden, zu einem Ergebnis, der kombinierten Erkennung, zusammengefasst. Wenn in den folgenden Tagen weitere Bedrohungen gefunden werden, werden diese mit neuen Ergebnissen verknüpft, auch falls es sich um identische Bedrohungen handelt.
Ein Beispiel für ein kombiniertes Erkennungsergebnis finden Sie unter Beispiele für Ergebnisformate.
Beispiele für Ergebnisformate
Diese JSON-Ausgabebeispiele enthalten Felder, die für VM Threat Detection-Ergebnisse üblich sind. Jedes Beispiel enthält nur die für den Ergebnistyp relevanten Felder. Es ist keine vollständige Liste der Felder enthalten.
Sie können Ergebnisse über das Security Command Center-Dashboard exportieren oder Ergebnisse über die Security Command Center API auflisten.
Maximieren Sie einen oder mehrere der folgenden Knoten, um die Beispielergebnisse zu sehen. Informationen zu den einzelnen Feldern im Ergebnis finden Sie unter Finding.
Feldwerte wie YARA-Regelnamen, die VM Threat Detection während einer Vorschau verwendet, können sich ändern, wenn die Funktion allgemein verfügbar ist.
Defense Evasion: RootkitVorschau
Dieses Ausgabebeispiel zeigt ein bekanntes Kernelmodus-Rootkit: Diamorphine.
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Rootkit",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {
"name": "Diamorphine",
"unexpected_kernel_code_pages": true,
"unexpected_system_call_handler": true
},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "HIGH",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Defense Evasion: Unexpected ftrace handlerVorschau
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Unexpected ftrace handler",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "MEDIUM",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Defense Evasion: Unexpected interrupt handlerVorschau
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Unexpected interrupt handler",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "MEDIUM",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Defense Evasion: Unexpected kernel code modificationVorschau
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Unexpected kernel code modification",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "MEDIUM",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Defense Evasion: Unexpected kernel modulesVorschau
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Unexpected kernel modules",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "MEDIUM",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Defense Evasion: Unexpected kernel read-only data modificationVorschau
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Unexpected kernel read-only data modification",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "MEDIUM",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Defense Evasion: Unexpected kprobe handlerVorschau
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Unexpected kprobe handler",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "MEDIUM",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Defense Evasion: Unexpected processes in runqueueVorschau
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Unexpected processes in runqueue",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "MEDIUM",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Defense Evasion: Unexpected system call handlerVorschau
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Unexpected system call handler",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "MEDIUM",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Execution: Cryptocurrency Mining Combined
Detection
Dieses Ausgabebeispiel zeigt eine Bedrohung, die sowohl vom Modul CRYPTOMINING_HASH als auch vom Modul CRYPTOMINING_YARA erkannt wurde.
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Execution: Cryptocurrency Mining Combined Detection",
"createTime": "2023-01-05T01:40:48.994Z",
"database": {},
"eventTime": "2023-01-05T01:39:36.876Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {
"signatures": [
{
"yaraRuleSignature": {
"yaraRule": "YARA_RULE1"
}
},
{
"yaraRuleSignature": {
"yaraRule": "YARA_RULE9"
}
},
{
"yaraRuleSignature": {
"yaraRule": "YARA_RULE10"
}
},
{
"yaraRuleSignature": {
"yaraRule": "YARA_RULE25"
}
},
{
"memoryHashSignature": {
"binaryFamily": "XMRig",
"detections": [
{
"binary": "linux-x86-64_xmrig_6.12.2",
"percentPagesMatched": 1
}
]
}
}
]
},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [
{
"binary": {
"path": "BINARY_PATH"
},
"script": {},
"args": [
"./miner",
""
],
"pid": "123",
"parentPid": "456",
"name": "miner"
}
],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "HIGH",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"project_display_name": "DISPLAY_NAME",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Execution: Cryptocurrency Mining Hash Match
Detection
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Execution: Cryptocurrency Mining Hash Match",
"createTime": "2023-01-05T01:40:48.994Z",
"database": {},
"eventTime": "2023-01-05T01:39:36.876Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {
"signatures": [
{
"memoryHashSignature": {
"binaryFamily": "XMRig",
"detections": [
{
"binary": "linux-x86-64_xmrig_6.12.2",
"percentPagesMatched": 1
}
]
}
}
]
},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [
{
"binary": {
"path": "BINARY_PATH"
},
"script": {},
"args": [
"./miner",
""
],
"pid": "123",
"parentPid": "456",
"name": "miner"
}
],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "HIGH",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"project_display_name": "DISPLAY_NAME",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Execution: Cryptocurrency Mining YARA Rule
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Execution: Cryptocurrency Mining YARA Rule",
"createTime": "2023-01-05T00:37:38.450Z",
"database": {},
"eventTime": "2023-01-05T01:12:48.828Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {
"signatures": [
{
"yaraRuleSignature": {
"yaraRule": "YARA_RULE9"
}
},
{
"yaraRuleSignature": {
"yaraRule": "YARA_RULE10"
}
},
{
"yaraRuleSignature": {
"yaraRule": "YARA_RULE25"
}
}
]
},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [
{
"binary": {
"path": "BINARY_PATH"
},
"script": {},
"args": [
"./miner",
""
],
"pid": "123",
"parentPid": "456",
"name": "miner"
}
],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "HIGH",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"project_display_name": "DISPLAY_NAME",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Malware: Malicious file on disk (YARA)Vorschau
{
"findings": {
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Malware: Malicious file on disk (YARA)",
"createTime": "2023-01-05T00:37:38.450Z",
"eventTime": "2023-01-05T01:12:48.828Z",
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {
"signatures": [
{
"yaraRuleSignature": {
"yaraRule": "M_Backdoor_REDSONJA_1"
},
"signatureType": "SIGNATURE_TYPE_FILE",
},
{
"yaraRuleSignature": {
"yaraRule": "M_Backdoor_REDSONJA_2"
},
"signatureType": "SIGNATURE_TYPE_FILE",
}
]
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"files": [
{
"diskPath": {
"partition_uuid": "b411dc99-f0a0-4c87-9e05-184977be8539",
"relative_path": "RELATIVE_PATH"
},
"size": "21238",
"sha256": "65d860160bdc9b98abf72407e14ca40b609417de7939897d3b58d55787aaef69",
"hashedSize": "21238"
}
],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "HIGH",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"project_display_name": "DISPLAY_NAME",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Ergebnisstatus ändern
Wenn Sie von VM Threat Detection erkannte Bedrohungen beheben, legt der Dienst den Status eines Ergebnisses bei nachfolgenden Scans nicht automatisch auf Inaktiv fest. Aufgrund der Beschaffenheit unserer Bedrohungsdomain kann die VM Threat Detection nicht feststellen, ob eine Bedrohung beseitigt oder geändert wurde, um die Erkennung zu vermeiden.
Wenn Ihre Sicherheitsteams sicher sind, dass eine Bedrohung entschärft wurde, kann der Status der Ergebnisse mit folgenden Schritten auf "Inaktiv" geändert werden.
Rufen Sie in der Google Cloud Console die Seite Ergebnisse des Security Command Center auf.
Klicken Sie neben Anzeigen nach auf Quelltyp.
Wählen Sie in der Liste Quelltyp die Option Bedrohungserkennung für virtuelle Maschinen aus. Die Tabelle enthält die Ergebnisse für den ausgewählten Quelltyp.
Aktivieren Sie das Kästchen neben den Ergebnissen, die bearbeitet wurden.
Klicken Sie auf Aktivitätsstatus ändern.
Klicken Sie auf Inaktiv.
VM Bedrohungserkennung aktivieren oder deaktivieren
VM Threat Detection ist standardmäßig für alle Kunden aktiviert, die sich nach dem 15. Juli 2022 für Security Command Center Premium registrieren. Ab diesem Datum ist dieser Dienst allgemein verfügbar. Bei Bedarf können Sie ihn manuell für Ihr Projekt oder Ihre Organisation deaktivieren oder wieder aktivieren.
Wenn Sie VM Threat Detection für eine Organisation oder ein Projekt aktivieren, scannt der Dienst automatisch alle unterstützten Ressourcen in dieser Organisation oder diesem Projekt. Umgekehrt gilt: Wenn Sie VM Bedrohungserkennung für eine Organisation oder ein Projekt deaktivieren, beendet der Dienst das Scannen aller unterstützten Ressourcen darin.
So aktivieren oder deaktivieren Sie VM Bedrohungserkennung:
Console
In der Google Cloud Console können Sie VM Bedrohungserkennung über den Tab Dienste auf der Seite Einstellungen aktivieren oder deaktivieren.
Weitere Informationen finden Sie unter Integrierten Dienst aktivieren oder deaktivieren.
cURL
senden Sie eine PATCH-Anfrage.
curl -X PATCH -H "Authorization: Bearer \"$(gcloud auth print-access-token)\"" \
-H "Content-Type: application/json; charset=utf-8" \
-H "X-Goog-User-Project: X_GOOG_USER_PROJECT" \
https://securitycenter.googleapis.com/v1beta2/RESOURCE/RESOURCE_ID/virtualMachineThreatDetectionSettings \
-d '{"serviceEnablementState": "NEW_STATE"}'
Ersetzen Sie Folgendes:
- X_GOOG_USER_PROJECT ist das Projekt, dem die mit VM Threat Detection-Scans verbundenen Zugriffsgebühren in Rechnung gestellt werden.
- RESOURCE ist der zu scannende Ressourcentyp (
organizationsoderprojects). - RESOURCE_ID: die ID der Organisation oder des Projekts, für das Sie VM Bedrohungserkennung aktivieren oder deaktivieren möchten.
- NEW_STATE ist der Status, in dem sich VM Bedrohungserkennung befinden soll (
ENABLEDoderDISABLED).
gcloud
Führen Sie dazu diesen Befehl aus:
gcloud alpha scc settings services ACTION --RESOURCE RESOURCE_ID \
--service VIRTUAL_MACHINE_THREAT_DETECTION
Ersetzen Sie Folgendes:
- ACTION ist die Aktion, die Sie für den VM Bedrohungserkennung-Dienst (
enableoderdisable) ausführen möchten. - RESOURCE: Der Ressourcentyp, für den Sie VM Bedrohungserkennung aktivieren oder deaktivieren möchten (
organizationoderproject). - RESOURCE_ID: die ID der Organisation oder des Projekts, für das Sie VM Bedrohungserkennung aktivieren oder deaktivieren möchten.
VM Bedrohungserkennungs-Modul aktivieren oder deaktivieren
So aktivieren oder deaktivieren Sie einen einzelnen VM-Bedrohungserkennung-Detektor, auch Modul genannt: Änderungen an Einstellungen werden spätestens nach einer Stunde wirksam.
Informationen zu allen VM Threat Detection-Bedrohungsergebnissen und den Modulen, die diese generieren, finden Sie in der Tabelle Bedrohungsergebnisse.
Console
cURL
Senden Sie zum Aktivieren oder Deaktivieren eines VM Bedrohungserkennung-Moduls in Ihrer Organisation oder Ihrem Projekt eine PATCH-Anfrage:
curl -X PATCH -H "Authorization: Bearer \"$(gcloud auth print-access-token)\"" \
-H "Content-Type: application/json; charset=utf-8" \
-H "X-Goog-User-Project: X_GOOG_USER_PROJECT" \
https://securitycenter.googleapis.com/v1beta2/RESOURCE/RESOURCE_ID/virtualMachineThreatDetectionSettings \
-d '{"modules": {"MODULE": {"module_enablement_state": "NEW_STATE"}}}'
Ersetzen Sie Folgendes:
- X_GOOG_USER_PROJECT ist das Projekt, dem die Zugriffsgebühren für VM Threat Detection-Scans in Rechnung gestellt werden.
- RESOURCE: Der Ressourcentyp, für den Sie das Modul aktivieren oder deaktivieren möchten (
organizationsoderprojects). - RESOURCE_ID: die ID der Organisation oder des Projekts, für das Sie das Modul aktivieren oder deaktivieren möchten.
- MODULE: das Modul, das Sie aktivieren oder deaktivieren möchten, z. B.
CRYPTOMINING_HASH. - NEW_STATE: der Zustand, in dem sich das Modul befinden soll (
ENABLEDoderDISABLED).
gcloud
Führen Sie den folgenden Befehl aus, um ein VM Bedrohungserkennung-Modul für Ihre Organisation oder Ihr Projekt zu aktivieren oder zu deaktivieren:
gcloud alpha scc settings services modules ACTION --RESOURCE RESOURCE_ID \
--service VIRTUAL_MACHINE_THREAT_DETECTION --module MODULE
Ersetzen Sie Folgendes:
- ACTION: die Aktion, die Sie für das Modul ausführen möchten (
enableoderdisable). - RESOURCE: Der Ressourcentyp, für den Sie das Modul aktivieren oder deaktivieren möchten (
organizationoderproject). - RESOURCE_ID: die ID der Organisation oder des Projekts, für das Sie das Modul aktivieren oder deaktivieren möchten.
- MODULE: das Modul, das Sie aktivieren oder deaktivieren möchten, z. B.
CRYPTOMINING_HASH.
Einstellungen der VM Bedrohungserkennungs-Module ansehen
Informationen zu allen VM Threat Detection-Bedrohungsergebnissen und den Modulen, die diese generieren, finden Sie in der Tabelle Bedrohungsergebnisse.
Console
Weitere Informationen finden Sie unter Module eines Dienstes ansehen.
cURL
senden Sie eine GET-Anfrage.
curl -X GET -H "Authorization: Bearer \"$(gcloud auth print-access-token)\"" \
-H "Content-Type: application/json; charset=utf-8" \
-H "X-Goog-User-Project: X_GOOG_USER_PROJECT" \
https://securitycenter.googleapis.com/v1beta2/RESOURCE/RESOURCE_ID/virtualMachineThreatDetectionSettings:calculate
Ersetzen Sie Folgendes:
- X_GOOG_USER_PROJECT ist das Projekt, dem die Zugriffsgebühren für VM Threat Detection-Scans in Rechnung gestellt werden.
- RESOURCE: Der Ressourcentyp, für den Sie die Moduleinstellungen ansehen möchten.
- RESOURCE_ID: Die ID der Organisation oder des Projekts, für das Sie die Moduleinstellungen aufrufen möchten.
gcloud
Führen Sie den folgenden Befehl aus, um die Einstellungen für ein einzelnes Modul anzusehen:
gcloud alpha scc settings services modules describe --RESOURCE RESOURCE_ID \
--service VIRTUAL_MACHINE_THREAT_DETECTION --module MODULE
Führen Sie den folgenden Befehl aus, um die Einstellungen für alle Module aufzurufen:
gcloud alpha scc settings services describe --RESOURCE RESOURCE_ID \
--service VIRTUAL_MACHINE_THREAT_DETECTION
Ersetzen Sie Folgendes:
- RESOURCE: Der Ressourcentyp, für den Sie die Moduleinstellungen aufrufen möchten (
organizationoderproject). - RESOURCE_ID: Die ID der Organisation oder des Projekts, für das Sie die Moduleinstellungen aufrufen möchten.
- MODULE: das Modul, das Sie sich ansehen möchten, z. B.
CRYPTOMINING_HASH.
Softwarenamen und YARA-Regeln für die Erkennung von Krypto-Mining
Die folgenden Listen enthalten die Namen von Binärprogrammen und YARA-Regeln, die das Mining von Kryptowährungen auslösen. Maximieren Sie die Knoten, um die Listen aufzurufen.
Execution: Cryptocurrency Mining Hash Match
- Arionum CPU Miner: Mining-Software für die Arionum-Kryptowährung
- Avermore: Mining-Software für scrypt-basierte Kryptowährungen
- Beam CUDA Miner: Mining-Software für Equihash-basierte Kryptowährungen
- Beam OpenCL Miner: Mining-Software für Equihash-basierte Kryptowährungen
- BFGMiner: ASIC/FPGA-basierte Mining-Software für Bitcoin
- BMiner: Mining-Software für verschiedene Kryptowährungen
- Cast XMR: Mining-Software für CryptoNight-basierte Kryptowährungen
- ccminer: CUDA-basierte Mining-Software
- cgminer: ASIC/FPGA-basierte Mining-Software für Bitcoin
- Claymore Miner: GPU-basierte Mining-Software für verschiedene Kryptowährungen
- CPUMiner: Familie CPU-basierter Mining-Software
- CryptoDredge: Mining-Softwarefamilie für CryptoDredge
- CryptoGoblin: Mining-Software für CryptoNight-basierte Kryptowährungen
- DamoMiner: GPU-basierte Mining-Software für Ethereum und andere Kryptowährungen
- DigitsMiner: Mining-Software für Digits
- EasyMiner: Mining-Software für Bitcoin und andere Kryptowährungen
- Ethminer: Mining-Software für Ethereum und andere Kryptowährungen
- EWBF: Mining-Software für Equihash-basierte Kryptowährungen
- FinMiner: Mining-Software für Ethash- und CryptoNight-basierte Kryptowährungen
- Funakoshi Miner: Mining-Software für Bitcoin-Gold-Kryptowährungen
- Geth: Mining-Software für Ethereum
- GMiner: Mining-Software für verschiedene Kryptowährungen
- gominer: Mining-Software für Decred
- GrinGoldMiner: Mining-Software für Grin
- Hush: Mining-Software für Zcash-basierte Kryptowährungen
- IxiMiner: Mining-Software für Ixian
- kawpowminer: Mining-Software für Ravencoin
- Komodo: Mining-Softwarefamilie für Komodo
- lolMiner: Mining-Software für verschiedene Kryptowährungen
- lukMiner: Mining-Software für verschiedene Kryptowährungen
- MinerGate: Mining-Software für verschiedene Kryptowährungen
- miniZ: Mining-Software für Equihash-basierte Kryptowährungen
- Mirai: Malware, die zum Mining von Kryptowährungen verwendet werden kann
- MultiMiner: Mining-Software für verschiedene Kryptowährungen
- nanominer: Mining-Software für verschiedene Kryptowährungen
- NBMiner: Mining-Software für verschiedene Kryptowährungen
- Nevermore: Mining-Software für verschiedene Kryptowährungen
- nheqminer: Mining-Software für NiceHash
- NinjaRig: Mining-Software für Argon2-basierte Kryptowährungen
- NodeCore PoW CUDA Miner: Mining-Software für VeriBlock
- NoncerPro: Mining-Software für Nimiq
- Optiminer/Equihash: Mining-Software für Equihash-basierte Kryptowährungen
- PascalCoin: Mining-Softwarefamilie für PascalCoin
- PhoenixMiner: Mining-Software für Ethereum
- Pooler CPU Miner: Mining-Software für Litecoin und Bitcoin
- ProgPoW Miner: Mining-Software für Ethereum und andere Kryptowährungen
- rhminer: Mining-Software für PascalCoin
- sgminer: Mining-Software für Scrypt-basierte Kryptowährungen
- simplecoin: Mining-Softwarefamilie für Scrypt-basiertes SimpleCoin
- Skypool Nimiq Miner: Mining-Software für Nimiq
- SwapReferenceMiner: Mining-Software für Grin
- Team Red Miner: AMD-basierte Mining-Software für verschiedene Kryptowährungen
- T-Rex: Mining-Software für verschiedene Kryptowährungen
- TT-Miner: Mining-Software für verschiedene Kryptowährungen
- Ubqminer: Mining-Software für Ubqhash-basierte Kryptowährungen
- VersusCoin: Mining-Software für VersusCoin
- violetminer: Mining-Software für Argon2-basierte Kryptowährungen
- Webchain-Miner: Mining-Software für MintMe
- WildRig: Mining-Software für verschiedene Kryptowährungen
- XCASH_ALL_Miner: Mining-Software für XCASH
- xFash: Mining-Software für MinerGate
- XLArig: Mining-Software für CryptoNight-basierte Kryptowährungen
- XMRig: Mining-Software für verschiedene Kryptowährungen
- Xmr-Stak: Mining-Software für CryptoNight-basierte Kryptowährungen
- XMR-Stak TurtleCoin: Mining-Software für CryptoNight-basierte Kryptowährungen
- Xtl-Stak: Mining-Software für CryptoNight-basierte Kryptowährungen
- Yam Miner: Mining-Software für MinerGate
- YCash: Mining-Software für YCash
- ZCoin: Mining-Software für ZCoin/Fire
- Zealot/Enemy: Mining-Software für verschiedene Kryptowährungen
- Kryptowährungs-Miner-Signal1
1 Dieser allgemeine Bedrohungsname gibt an, dass ein unbekannter Cryptocurrency-Miner möglicherweise in der VM ausgeführt wird, die VM Threat Detection jedoch keine spezifischen Informationen über den Miner hat.
Execution: Cryptocurrency Mining YARA Rule
- YARA_RULE1: entspricht einer Mining-Software für Monero
- YARA_RULE9: entspricht Mining-Software, die Blake2- und AES-Chiffres verwendet
- YARA_RULE10: entspricht einer Mining-Software, die die Proof of Work-Routine von CryptoNight verwendet
- YARA_RULE15: entspricht einer Mining-Software für NBMiner
- YARA_RULE17: entspricht einer Mining-Software, die die Proof of Work-Routine von Scrypt verwendet
- YARA_RULE18: entspricht einer Mining-Software, die die Proof of Work-Routine von Scrypt verwendet
- YARA_RULE19: entspricht einer Mining-Software für BFGMiner
- YARA_RULE24: entspricht einer Mining-Software für XMR-Stak
- YARA_RULE25: entspricht einer Mining-Software für XMRig
- DYNAMIC_YARA_RULE_BFGMINER_2: entspricht einer Mining-Software für BFGMiner
Nächste Schritte
- Weitere Informationen zu VM Bedrohungserkennung.
- Ergebnisse von VM Threat Detection untersuchen.