En esta página, se describe cómo ver y administrar los resultados de VM Threat Detection. También se muestra cómo habilitar o inhabilitar el servicio y sus módulos.
Descripción general
Virtual Machine Threat Detection, un servicio integrado de Security Command Center Premium, proporciona detección de amenazas a través de la instrumentación a nivel de hipervisor y el análisis de disco persistente. VM Threat Detection detecta aplicaciones potencialmente maliciosas, como software de minería de criptomonedas, rootkits en modo de kernel y software malicioso que se ejecuta en entornos de nube comprometidos.
VM Threat Detection forma parte del paquete de detección de amenazas de Security Command Center Premium y está diseñada para complementar las capacidades existentes de Event Threat Detection y Container Threat Detection.
Para obtener más información, consulta la descripción general de la detección de amenazas de VM.
Costos
Después de inscribirte en la versión Premium de Security Command Center, no hay costo adicional por usar VM Threat Detection.
Antes de comenzar
Para usar esta función, debes estar inscrito en la edición Premium de Security Command Center.
Además, necesitas roles adecuados de administración de identidades y accesos (IAM) para ver o editar los resultados y modificar los recursos de Google Cloud. Si te encuentras con errores de acceso en Security Command Center, pídele asistencia al administrador. Para obtener más información sobre los roles, consulta Control de acceso.
Probar VM Threat Detection
Para probar la detección de minería de criptomonedas de VM Threat Detection, puedes ejecutar una aplicación de minería de criptomonedas en tu VM. Para obtener una lista de nombres de objetos binarios y reglas YARA que activan los resultados, consulta Nombres de software y reglas YARA. Si instalas y pruebas aplicaciones de minería, te recomendamos que solo las ejecutes en un entorno de pruebas aislado, supervises atentamente su uso y las quites por completo después de las pruebas.
Para probar la detección de software malicioso de la detección de amenazas de VM, puedes descargar aplicaciones de software malicioso en tu VM. Si descargas software malicioso, te recomendamos que lo hagas en un entorno de pruebas aislado y que lo quites por completo después de las pruebas.
Revisa los resultados en la consola de Google Cloud
Para revisar los resultados de VM Threat Detection en la consola de Google Cloud, haz lo siguiente:
Ve a la pestaña Resultados de Security Command Center en la consola de Google Cloud.
Si es necesario, selecciona tu organización o proyecto de Google Cloud.
En la sección Filtros rápidos, en la subsección Nombre visible de la fuente, selecciona Virtual Machine Threat Detection.
Si no ves Virtual Machine Threat Detection, haz clic en View more (Ver más). En el cuadro de diálogo, busca Virtual Machine Threat Detection.
Para ver los detalles de un resultado específico, haz clic en su nombre en Categoría. Se abrirá el panel de detalles del resultado y se mostrará la pestaña Resumen.
En la pestaña Resumen, revisa la información sobre el resultado, incluida la información sobre el objeto binario que se detectó, el recurso afectado y mucho más.
En el panel de detalles, haz clic en la pestaña JSON para ver el JSON completo del resultado.
Para obtener información más detallada sobre cómo responder a cada resultado de VM Threat Detection, consulta Respuesta de VM Threat Detection.
Para obtener una lista de los resultados de la detección de amenazas de VM, consulta Resultados.
Gravedad
Los resultados de la detección de amenazas de VM se asignan a gravedad Alta, Media y Baja según la confianza de la clasificación de amenazas.
Detecciones combinadas
Las detecciones combinadas ocurren cuando se detectan varias categorías de hallazgos en un día. Una o más aplicaciones maliciosas pueden generar los resultados. Por ejemplo, una sola aplicación puede activar los resultados Execution: Cryptocurrency Mining YARA Rule y Execution: Cryptocurrency
Mining Hash Match de forma simultánea. Sin embargo, todas las amenazas detectadas desde una única fuente en el mismo día se incluyen en un resultado de detección combinada. En los próximos días, si se encuentran más amenazas, incluso las mismas, se adjuntarán a nuevos hallazgos.
Si quieres ver un ejemplo de un resultado de detección combinado, consulta Ejemplos de formatos de resultado.
Ejemplos de formatos de hallazgos
Estos ejemplos de salida de JSON contienen campos comunes a los resultados de la detección de amenazas de VM. En cada ejemplo, solo se muestran los campos relevantes para el tipo de resultado; no se proporciona una lista exhaustiva de campos.
Puedes exportar los resultados a través del panel de Security Command Center o enumerarlos a través de la API de Security Command Center.
Para ver los resultados de ejemplo, expande uno o más de los siguientes nodos. Para obtener información sobre cada campo del resultado, consulta Finding.
Los valores de los campos, como los nombres de reglas YARA, que la detección de amenazas de VM utiliza durante una versión preliminar pueden cambiar cuando la función alcanza la disponibilidad general.
Defense Evasion: RootkitVista previa
En el ejemplo de salida, se muestra un resultado de un rootkit conocido en modo de kernel: Diamorphine.
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Rootkit",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {
"name": "Diamorphine",
"unexpected_kernel_code_pages": true,
"unexpected_system_call_handler": true
},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "HIGH",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Defense Evasion: Unexpected ftrace handlerVista previa
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Unexpected ftrace handler",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "MEDIUM",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Defense Evasion: Unexpected interrupt handlerVista previa
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Unexpected interrupt handler",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "MEDIUM",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Defense Evasion: Unexpected kernel code modificationVista previa
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Unexpected kernel code modification",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "MEDIUM",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Defense Evasion: Unexpected kernel modulesVista previa
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Unexpected kernel modules",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "MEDIUM",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Defense Evasion: Unexpected kernel read-only data modificationVista previa
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Unexpected kernel read-only data modification",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "MEDIUM",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Defense Evasion: Unexpected kprobe handlerVista previa
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Unexpected kprobe handler",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "MEDIUM",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Defense Evasion: Unexpected processes in runqueueVista previa
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Unexpected processes in runqueue",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "MEDIUM",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Defense Evasion: Unexpected system call handlerVista previa
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Unexpected system call handler",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "MEDIUM",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Execution: Cryptocurrency Mining Combined
Detection
En este ejemplo de salida, se muestra una amenaza detectada por los módulos CRYPTOMINING_HASH y CRYPTOMINING_YARA.
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Execution: Cryptocurrency Mining Combined Detection",
"createTime": "2023-01-05T01:40:48.994Z",
"database": {},
"eventTime": "2023-01-05T01:39:36.876Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {
"signatures": [
{
"yaraRuleSignature": {
"yaraRule": "YARA_RULE1"
}
},
{
"yaraRuleSignature": {
"yaraRule": "YARA_RULE9"
}
},
{
"yaraRuleSignature": {
"yaraRule": "YARA_RULE10"
}
},
{
"yaraRuleSignature": {
"yaraRule": "YARA_RULE25"
}
},
{
"memoryHashSignature": {
"binaryFamily": "XMRig",
"detections": [
{
"binary": "linux-x86-64_xmrig_6.12.2",
"percentPagesMatched": 1
}
]
}
}
]
},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [
{
"binary": {
"path": "BINARY_PATH"
},
"script": {},
"args": [
"./miner",
""
],
"pid": "123",
"parentPid": "456",
"name": "miner"
}
],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "HIGH",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"project_display_name": "DISPLAY_NAME",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Execution: Cryptocurrency Mining Hash Match
Detection
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Execution: Cryptocurrency Mining Hash Match",
"createTime": "2023-01-05T01:40:48.994Z",
"database": {},
"eventTime": "2023-01-05T01:39:36.876Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {
"signatures": [
{
"memoryHashSignature": {
"binaryFamily": "XMRig",
"detections": [
{
"binary": "linux-x86-64_xmrig_6.12.2",
"percentPagesMatched": 1
}
]
}
}
]
},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [
{
"binary": {
"path": "BINARY_PATH"
},
"script": {},
"args": [
"./miner",
""
],
"pid": "123",
"parentPid": "456",
"name": "miner"
}
],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "HIGH",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"project_display_name": "DISPLAY_NAME",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Execution: Cryptocurrency Mining YARA Rule
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Execution: Cryptocurrency Mining YARA Rule",
"createTime": "2023-01-05T00:37:38.450Z",
"database": {},
"eventTime": "2023-01-05T01:12:48.828Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {
"signatures": [
{
"yaraRuleSignature": {
"yaraRule": "YARA_RULE9"
}
},
{
"yaraRuleSignature": {
"yaraRule": "YARA_RULE10"
}
},
{
"yaraRuleSignature": {
"yaraRule": "YARA_RULE25"
}
}
]
},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [
{
"binary": {
"path": "BINARY_PATH"
},
"script": {},
"args": [
"./miner",
""
],
"pid": "123",
"parentPid": "456",
"name": "miner"
}
],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "HIGH",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"project_display_name": "DISPLAY_NAME",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Malware: Malicious file on disk (YARA)Vista previa
{
"findings": {
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Malware: Malicious file on disk (YARA)",
"createTime": "2023-01-05T00:37:38.450Z",
"eventTime": "2023-01-05T01:12:48.828Z",
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {
"signatures": [
{
"yaraRuleSignature": {
"yaraRule": "M_Backdoor_REDSONJA_1"
},
"signatureType": "SIGNATURE_TYPE_FILE",
},
{
"yaraRuleSignature": {
"yaraRule": "M_Backdoor_REDSONJA_2"
},
"signatureType": "SIGNATURE_TYPE_FILE",
}
]
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"files": [
{
"diskPath": {
"partition_uuid": "b411dc99-f0a0-4c87-9e05-184977be8539",
"relative_path": "RELATIVE_PATH"
},
"size": "21238",
"sha256": "65d860160bdc9b98abf72407e14ca40b609417de7939897d3b58d55787aaef69",
"hashedSize": "21238"
}
],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "HIGH",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"project_display_name": "DISPLAY_NAME",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Cambia el estado de los resultados
Cuando resuelves amenazas identificadas por VM Threat Detection, el servicio no establece automáticamente el estado de un resultado en Inactivo en análisis posteriores. Debido a la naturaleza de nuestro dominio de amenazas, VM Threat Detection no puede determinar si una amenaza se mitiga o si cambió para evitar la detección.
Cuando tus equipos de seguridad estén satisfechos con la mitigación de una amenaza, pueden realizar los siguientes pasos para cambiar el estado de los resultados a inactivo.
Ve a la página Resultados de Security Command Center en la consola de Google Cloud.
Junto a Ver por, haz clic en Tipo de fuente.
En la lista Tipo de fuente, selecciona Virtual Machine Threat Detection. Una tabla se propaga con los resultados para el tipo de fuente que seleccionaste.
Selecciona la casilla de verificación junto a los resultados que se resuelven.
Haz clic en Cambiar el estado activo.
Haz clic en Inactivo.
Habilitar o inhabilitar la detección de amenazas de VM
VM Threat Detection está habilitada de forma predeterminada para todos los clientes que se inscriben en Security Command Center Premium después del 15 de julio de 2022, fecha en la que este servicio comenzó a estar disponible de forma general. Si es necesario, puedes inhabilitarlo o volver a habilitarlo de forma manual para tu organización o proyecto.
Cuando habilitas VM Threat Detection en una organización o proyecto, el servicio analiza automáticamente todos los recursos compatibles en esa organización o proyecto. Por el contrario, cuando inhabilitas la detección de amenazas de VM en una organización o un proyecto, el servicio deja de analizar todos los recursos compatibles en él.
Para habilitar o inhabilitar VM Threat Detection, haz lo siguiente:
Console
En la consola de Google Cloud, puedes habilitar o inhabilitar VM Threat Detection a través de la pestaña Servicios en la página Configuración.
Para obtener más información, consulta Habilita o inhabilita un servicio integrado.
cURL
envía una solicitud PATCH:
curl -X PATCH -H "Authorization: Bearer \"$(gcloud auth print-access-token)\"" \
-H "Content-Type: application/json; charset=utf-8" \
-H "X-Goog-User-Project: X_GOOG_USER_PROJECT" \
https://securitycenter.googleapis.com/v1beta2/RESOURCE/RESOURCE_ID/virtualMachineThreatDetectionSettings \
-d '{"serviceEnablementState": "NEW_STATE"}'
Reemplaza lo siguiente:
- X_GOOG_USER_PROJECT: Es el proyecto que se facturará por los cargos de acceso asociados con los análisis de VM Threat Detection.
- RESOURCE: Es el tipo de recurso que se analizará (
organizationsoprojects). - RESOURCE_ID: Es el identificador de la organización o el proyecto en el que deseas habilitar o inhabilitar VM Threat Detection.
- NEW_STATE: Es el estado en el que deseas que esté la detección de amenazas de VM (
ENABLEDoDISABLED).
gcloud
Ejecuta el siguiente comando:
gcloud alpha scc settings services ACTION --RESOURCE RESOURCE_ID \
--service VIRTUAL_MACHINE_THREAT_DETECTION
Reemplaza lo siguiente:
- ACTION: Es la acción que deseas realizar en el servicio de detección de amenazas a la VM (
enableodisable). - RESOURCE: Es el tipo de recurso en el que deseas habilitar o inhabilitar VM Threat Detection (
organizationoproject). - RESOURCE_ID: Es el identificador de la organización o el proyecto en el que deseas habilitar o inhabilitar VM Threat Detection.
Habilita o inhabilita un módulo de detección de amenazas de VM
Para habilitar o inhabilitar un detector de amenazas de VM individual, también conocido como módulo, haz lo siguiente: Los cambios pueden tardar hasta una hora en aplicarse.
Para obtener información sobre todos los resultados de amenazas de VM Threat Detection y los módulos que los generan, consulta la tabla Búsquedas de amenazas.
Console
Consulta Habilita o inhabilita un módulo.
cURL
Para habilitar o inhabilitar un módulo de VM Threat Detection en tu organización o proyecto, envía una solicitud PATCH:
curl -X PATCH -H "Authorization: Bearer \"$(gcloud auth print-access-token)\"" \
-H "Content-Type: application/json; charset=utf-8" \
-H "X-Goog-User-Project: X_GOOG_USER_PROJECT" \
https://securitycenter.googleapis.com/v1beta2/RESOURCE/RESOURCE_ID/virtualMachineThreatDetectionSettings \
-d '{"modules": {"MODULE": {"module_enablement_state": "NEW_STATE"}}}'
Reemplaza lo siguiente:
- X_GOOG_USER_PROJECT: El proyecto al que se facturan los cargos de acceso asociados con los análisis de VM Threat Detection.
- RESOURCE: Es el tipo de recurso en el que deseas habilitar o inhabilitar el módulo (
organizationsoprojects). - RESOURCE_ID: El ID de la organización o el proyecto en el que deseas habilitar o inhabilitar el módulo
- MODULE: Es el módulo que deseas habilitar o inhabilitar, por ejemplo,
CRYPTOMINING_HASH. - NEW_STATE: Es el estado en el que deseas que esté el módulo (
ENABLEDoDISABLED).
gcloud
Para habilitar o inhabilitar un módulo de VM Threat Detection en tu organización o proyecto, ejecuta el siguiente comando:
gcloud alpha scc settings services modules ACTION --RESOURCE RESOURCE_ID \
--service VIRTUAL_MACHINE_THREAT_DETECTION --module MODULE
Reemplaza lo siguiente:
- ACTION: Es la acción que deseas realizar en el módulo (
enableodisable). - RESOURCE: Es el tipo de recurso en el que deseas habilitar o inhabilitar el módulo (
organizationoproject). - RESOURCE_ID: El ID de la organización o el proyecto en el que deseas habilitar o inhabilitar el módulo
- MODULE: Es el módulo que deseas habilitar o inhabilitar, por ejemplo,
CRYPTOMINING_HASH.
Consulta la configuración de los módulos de VM Threat Detection
Para obtener información sobre todos los resultados de amenazas de VM Threat Detection y los módulos que los generan, consulta la tabla Búsquedas de amenazas.
Console
cURL
envía una solicitud GET:
curl -X GET -H "Authorization: Bearer \"$(gcloud auth print-access-token)\"" \
-H "Content-Type: application/json; charset=utf-8" \
-H "X-Goog-User-Project: X_GOOG_USER_PROJECT" \
https://securitycenter.googleapis.com/v1beta2/RESOURCE/RESOURCE_ID/virtualMachineThreatDetectionSettings:calculate
Reemplaza lo siguiente:
- X_GOOG_USER_PROJECT: El proyecto al que se facturan los cargos de acceso asociados con los análisis de VM Threat Detection.
- RESOURCE: Es el tipo de recurso del que deseas ver la configuración del módulo.
- RESOURCE_ID: Es el ID de la organización o el proyecto del que deseas ver la configuración del módulo.
gcloud
Para ver la configuración de un solo módulo, ejecuta el siguiente comando:
gcloud alpha scc settings services modules describe --RESOURCE RESOURCE_ID \
--service VIRTUAL_MACHINE_THREAT_DETECTION --module MODULE
Para ver la configuración de todos los módulos, ejecuta el siguiente comando:
gcloud alpha scc settings services describe --RESOURCE RESOURCE_ID \
--service VIRTUAL_MACHINE_THREAT_DETECTION
Reemplaza lo siguiente:
- RESOURCE: Es el tipo de recurso del que deseas ver la configuración del módulo (
organizationoproject). - RESOURCE_ID: Es el ID de la organización o el proyecto del que deseas ver la configuración del módulo.
- MODULE: Es el módulo que deseas ver, por ejemplo,
CRYPTOMINING_HASH.
Nombres de software y reglas YARA para la detección de minería de criptomonedas
En las siguientes listas, se incluyen los nombres de los objetos binarios y las reglas YARA que activan los resultados de la minería de criptomonedas. Para ver las listas, expande los nodos.
Execution: Cryptocurrency Mining Hash Match
- Arionum CPU miner: Software de minería de criptomonedas Arionum
- Avermore: Software de minería para criptomonedas basadas en scrypt
- Beam CUDA miner: software de minería para criptomonedas basadas en Equihash
- Beam OpenCL miner: software de minería para criptomonedas basadas en Equihash
- BFGMiner: Software de minería basado en ASIC/FPGA para Bitcoin
- BMiner: Software de minería para varias criptomonedas
- Cast XMR: software de minería para criptomonedas basadas en Cryptonight
- ccminer: Software de minería basado en CUDA
- cgminer: Software de minería basado en ASIC/FPGA para Bitcoin
- Claymore's miner: Software de minería basado en GPU para varias criptomonedas
- CPUMiner: Familia de software de minería basado en CPU
- CryptoDredge: Familia de software de minería para CryptoDredge
- CryptoGoblin: Software de minería para criptomonedas basadas en CryptoNight
- DamoMiner: software de minería basado en GPU para Ethereum y otras criptomonedas
- DigitsMiner: Software de minería para Digits
- EasyMiner: Software de minería para Bitcoin y otras criptomonedas
- Ethminer: Software de minería para Ethereum y otras criptomonedas
- EWBF: software de minería para criptomonedas basadas en Equihash
- FinMiner: software de minería para criptomonedas basado en Ethash y CryptoNight
- Funakoshi Miner: Software de minería para criptomonedas de Bitcoin-Gold
- Geth: Software de minería para Ethereum
- GMiner: Software de minería para varias criptomonedas
- gominer: Software de minería para Decred
- GrinGoldMiner: Software de minería para Grin
- Hush: Software de minería de criptomonedas basadas en Zcash
- IxiMiner: Software de minería para Ixian
- kawpowminer: Software de minería para Ravencoin
- Komodo: Familia de software de minería para Komodo
- lolMiner: Software de minería para varias criptomonedas
- lukMiner: Software de minería para varias criptomonedas
- MinerGate: Software de minería para varias criptomonedas
- miniZ: software de minería para criptomonedas basadas en Equihash
- Mirai: software malicioso que se puede usar para extraer criptomonedas
- MultiMiner: Software de minería para varias criptomonedas
- nanominer: Software de minería para varias criptomonedas
- NBMiner: Software de minería para varias criptomonedas
- Nevermore: minería de software para varias criptomonedas
- nheqminer: Software de minería para NiceHash
- NinjaRig: software de minería para criptomonedas basadas en Argon2
- NodeCore PoW CUDA Miner: Software de minería para VeriBlock
- NoncerPro: Software de minería para Nimiq
- Optiminer/Equihash: Software de minería para criptomonedas basadas en Equihash
- PascalCoin: Familia de software de minería para PascalCoin
- PhoenixMiner: Software de minería para Ethereum
- Pooler CPU Miner: Software de minería para Litecoin y Bitcoin
- ProgPoW Miner: Software de minería para Ethereum y otras criptomonedas
- rhminer: Software de minería para PascalCoin
- sgminer: Software de minería para criptomonedas basadas en scrypt
- simplecoin: Familia de software de minería para SimpleCoin basado en scrypt
- Skypool Nimiq Miner: Software de minería para Nimiq
- ExchangeReferenceMiner: Software de minería de Grin
- Team Red Miner: Software de minería basado en AMD para varias criptomonedas
- T-Rex: Software de minería para varias criptomonedas
- TT-Miner: Software de minería para varias criptomonedas
- Ubqminer: Software de minería de criptomonedas basadas en Ubqhash
- VersusCoin: Software de minería para VersusCoin
- violetminer: Software de minería para criptomonedas basadas en Argon2
- webchain-miner: Software de minería para MintMe
- WildRig: Software de minería para varias criptomonedas
- XCASH_ALL_Miner: Software de minería para XCASH
- xFash: Software de minería para MinerGate
- XArig: Software de minería para criptomonedas basadas en CryptoNight
- XMRig: Software de minería para varias criptomonedas
- Xmr-Stak: Software de minería para criptomonedas basadas en CryptoNight
- XMR-Stak TurtleCoin: Software de minería para criptomonedas basadas en CryptoNight
- Xtl-Stak: software de minería para criptomonedas basadas en CryptoNight
- Yam Miner: Software de minería para MinerGate
- YCash: Software de minería para YCash
- ZCoin: Software de minería para ZCoin/Fire
- Zealot/Enemy: Software de minería para varias criptomonedas
- Indicador de minera de criptomoneda1
1 Este nombre genérico de amenaza indica que un miner de criptomonedas desconocido puede operar en la VM, pero VM Threat Detection no tiene información específica sobre el miner.
Execution: Cryptocurrency Mining YARA Rule
- YARA_RULE1: Coincide con el software de minería de Monero
- YARA_RULE9: Coincide con el software de minería que usa el algoritmo de cifrado Blake2 y AES
- YARA_RULE10: coincide con el software de minería que usa el CryptoNight rutina de prueba de trabajo
- YARA_RULE15: Coincide con el software de minería de NBMiner
- YARA_RULE17: Coincide con el software de minería que usa la rutina de prueba de trabajo de Scrypt
- YARA_RULE18: Coincide con el software de minería que usa la rutina de prueba de trabajo de Scrypt
- YARA_RULE19: Coincide con el software de minería de BFGMiner
- YARA_RULE24: Coincide con el software de minería de XMR-Stak
- YARA_RULE25: Coincide con el software de minería de XMRig
- DYNAMIC_YARA_RULE_BFGMINER_2: Coincide con el software de minería de BFGMiner
¿Qué sigue?
- Obtén más información sobre VM Threat Detection.
- Aprende a investigar los resultados de VM Threat Detection.