Usar Virtual Machine Threat Detection

En esta página, se describe cómo ver y administrar los hallazgos de VM Threat Detection. También te muestra cómo habilitar o inhabilitar el servicio y sus módulos.

Descripción general

Virtual Machine Threat Detection, un servicio integrado de Security Command Center Premium, brinda Detección de amenazas a través de instrumentación a nivel de hipervisor y disco persistente de análisis de datos en la nube. VM Threat Detection detecta aplicaciones potencialmente maliciosas, como las siguientes: software de minería de criptomonedas, rootkits en modo kernel y malware que se ejecuta en en entornos de nube comprometidos.

VM Threat Detection forma parte de la detección de amenazas de Security Command Center Premium y está diseñado para complementar las capacidades existentes de Event Threat Detection y Container Threat Detection.

Para obtener más información, consulta Descripción general de VM Threat Detection.

Costos

Después de inscribirte en la versión Premium de Security Command Center, no hay costo adicional por usar VM Threat Detection.

Antes de comenzar

Para usar esta función, debes estar inscrito en la versión Premium de Security Command Center.

Además, necesitas roles adecuados de administración de identidades y accesos (IAM) para ver o editar los resultados y modificar los recursos de Google Cloud. Si te encuentras con errores de acceso en Security Command Center, pídele asistencia al administrador. Para obtener más información sobre los roles, consulta Control de acceso.

Probar VM Threat Detection

Para probar la detección de minería de criptomonedas de VM Threat Detection, puedes ejecutar una aplicación de minería de criptomonedas en tu VM. Para obtener una lista de nombres de objetos binarios y Reglas YARA que activadores de resultados, consulta Nombres de software y YARA con las reglas de firewall. Si instalas y pruebas aplicaciones de minería, recomendamos ejecutar las aplicaciones en un entorno de pruebas aislado supervisar de cerca su uso y quitarlos por completo después de la prueba.

Para probar la detección de software malicioso en la VM Threat Detection, puedes descargar este software aplicaciones en tu VM. Si descargas software malicioso, te recomendamos que lo hagas en un entorno de pruebas aislado y quitarlos por completo y pruebas.

Revisa los resultados en la consola de Google Cloud

Para revisar los hallazgos de VM Threat Detection en la consola de Google Cloud, sigue estos pasos: haz lo siguiente:

  1. En la consola de Google Cloud, ve a la página Resultados de Security Command Center.

    Ir a Hallazgos

  2. Selecciona tu organización o proyecto de Google Cloud.
  3. En la sección Filtros rápidos, en la subsección Nombre visible de la fuente, selecciona Virtual Machine Threat Detection. Los resultados de la búsqueda de resultados se actualizan para mostrar solo los los resultados obtenidos de esta fuente.
  4. Para ver los detalles de un resultado específico, haz clic en el nombre del resultado en Categoría. El del hallazgo, se abre el panel de detalles y se muestra la pestaña Resumen (Summary).
  5. En la pestaña Resumen, revisa los detalles del hallazgo, incluida la información sobre qué se detectó, el recurso afectado y, si están disponibles, los pasos que puedes realizar para corregir el hallazgo.
  6. Opcional: Para ver la definición JSON completa del hallazgo, haz clic en la pestaña JSON.

Para obtener información más detallada sobre cómo responder a cada Hallazgo de Detección de amenazas de VM, consulte Respuesta de detección de amenazas de VM.

Para obtener una lista de los hallazgos de VM Threat Detection, consulta Hallazgos.

Gravedad

A los resultados de VM Threat Detection se les asigna gravedad Alta, Media y Baja según la confianza de la clasificación de amenazas.

Detecciones combinadas

Las detecciones combinadas ocurren cuando se detectan múltiples categorías de hallazgos en un día. Una o más aplicaciones maliciosas pueden generar los resultados. Por ejemplo, una sola aplicación puede activar los resultados Execution: Cryptocurrency Mining YARA Rule y Execution: Cryptocurrency Mining Hash Match de forma simultánea. Sin embargo, todas las amenazas detectadas desde una sola fuente en el mismo día se incluyen en un resultado de detección combinada. En la a los días siguientes, si se encuentran más amenazas, incluso las mismas, se vuelven se adjuntan a los nuevos hallazgos.

Para ver un ejemplo de un resultado de detección combinada, consulta Ejemplos de formatos de resultados.

Ejemplos de formatos de resultados

Estos ejemplos de salida de JSON contienen campos comunes a los resultados de VM Threat Detection. En cada ejemplo, solo se muestran los campos relevantes para el tipo de hallazgo. No proporciona una lista exhaustiva de campos.

Puedes exportar los resultados a través de Security Command Center console o lista con la API de Security Command Center.

Para ver los resultados de ejemplo, expande uno o más de los siguientes nodos. Para información sobre cada campo del hallazgo, consulta Finding

Defense Evasion: RootkitVista previa

En este ejemplo, se muestra un hallazgo de un rootkit en modo de kernel conocido: la diamorfina.

{
  "findings": {
    "access": {},
    "assetDisplayName": "DISPLAY_NAME",
    "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
    "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
    "category": "Defense Evasion: Rootkit",
    "createTime": "2023-01-12T00:39:33.007Z",
    "database": {},
    "eventTime": "2023-01-11T21:24:05.326Z",
    "exfiltration": {},
    "findingClass": "THREAT",
    "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
    "indicator": {},
    "kernelRootkit": {
      "name": "Diamorphine",
      "unexpected_kernel_code_pages": true,
      "unexpected_system_call_handler": true
    },
    "kubernetes": {},
    "mitreAttack": {
      "version": "9"
    },
    "mute": "UNDEFINED",
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
    "parentDisplayName": "Virtual Machine Threat Detection",
    "processes": [],
    "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
    "severity": "HIGH",
    "sourceDisplayName": "Virtual Machine Threat Detection",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
    "display_name": "DISPLAY_NAME",
    "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
    "project_display_name": "PROJECT_ID",
    "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
    "parent_display_name": "DISPLAY_NAME",
    "type": "google.compute.Instance",
    "folders": []
  },
  "sourceProperties": {}
}
      

Defense Evasion: Unexpected ftrace handlerVersión preliminar

  {
    "findings": {
      "access": {},
      "assetDisplayName": "DISPLAY_NAME",
      "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
      "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
      "category": "Defense Evasion: Unexpected ftrace handler",
      "createTime": "2023-01-12T00:39:33.007Z",
      "database": {},
      "eventTime": "2023-01-11T21:24:05.326Z",
      "exfiltration": {},
      "findingClass": "THREAT",
      "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
      "indicator": {},
      "kernelRootkit": {},
      "kubernetes": {},
      "mitreAttack": {
        "version": "9"
      },
      "mute": "UNDEFINED",
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
      "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
      "parentDisplayName": "Virtual Machine Threat Detection",
      "processes": [],
      "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "severity": "MEDIUM",
      "sourceDisplayName": "Virtual Machine Threat Detection",
      "state": "ACTIVE",
      "vulnerability": {},
      "workflowState": "NEW"
    },
    "resource": {
      "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "display_name": "DISPLAY_NAME",
      "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "project_display_name": "PROJECT_ID",
      "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "parent_display_name": "DISPLAY_NAME",
      "type": "google.compute.Instance",
      "folders": []
    },
    "sourceProperties": {}
  }
      

Defense Evasion: Unexpected interrupt handlerVersión preliminar

  {
    "findings": {
      "access": {},
      "assetDisplayName": "DISPLAY_NAME",
      "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
      "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
      "category": "Defense Evasion: Unexpected interrupt handler",
      "createTime": "2023-01-12T00:39:33.007Z",
      "database": {},
      "eventTime": "2023-01-11T21:24:05.326Z",
      "exfiltration": {},
      "findingClass": "THREAT",
      "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
      "indicator": {},
      "kernelRootkit": {},
      "kubernetes": {},
      "mitreAttack": {
        "version": "9"
      },
      "mute": "UNDEFINED",
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
      "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
      "parentDisplayName": "Virtual Machine Threat Detection",
      "processes": [],
      "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "severity": "MEDIUM",
      "sourceDisplayName": "Virtual Machine Threat Detection",
      "state": "ACTIVE",
      "vulnerability": {},
      "workflowState": "NEW"
    },
    "resource": {
      "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "display_name": "DISPLAY_NAME",
      "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "project_display_name": "PROJECT_ID",
      "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "parent_display_name": "DISPLAY_NAME",
      "type": "google.compute.Instance",
      "folders": []
    },
    "sourceProperties": {}
  }
      

Defense Evasion: Unexpected kernel code modificationVersión preliminar

  {
    "findings": {
      "access": {},
      "assetDisplayName": "DISPLAY_NAME",
      "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
      "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
      "category": "Defense Evasion: Unexpected kernel code modification",
      "createTime": "2023-01-12T00:39:33.007Z",
      "database": {},
      "eventTime": "2023-01-11T21:24:05.326Z",
      "exfiltration": {},
      "findingClass": "THREAT",
      "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
      "indicator": {},
      "kernelRootkit": {},
      "kubernetes": {},
      "mitreAttack": {
        "version": "9"
      },
      "mute": "UNDEFINED",
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
      "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
      "parentDisplayName": "Virtual Machine Threat Detection",
      "processes": [],
      "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "severity": "MEDIUM",
      "sourceDisplayName": "Virtual Machine Threat Detection",
      "state": "ACTIVE",
      "vulnerability": {},
      "workflowState": "NEW"
    },
    "resource": {
      "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "display_name": "DISPLAY_NAME",
      "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "project_display_name": "PROJECT_ID",
      "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "parent_display_name": "DISPLAY_NAME",
      "type": "google.compute.Instance",
      "folders": []
    },
    "sourceProperties": {}
  }
      

Defense Evasion: Unexpected kernel modulesVersión preliminar

  {
    "findings": {
      "access": {},
      "assetDisplayName": "DISPLAY_NAME",
      "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
      "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
      "category": "Defense Evasion: Unexpected kernel modules",
      "createTime": "2023-01-12T00:39:33.007Z",
      "database": {},
      "eventTime": "2023-01-11T21:24:05.326Z",
      "exfiltration": {},
      "findingClass": "THREAT",
      "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
      "indicator": {},
      "kernelRootkit": {},
      "kubernetes": {},
      "mitreAttack": {
        "version": "9"
      },
      "mute": "UNDEFINED",
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
      "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
      "parentDisplayName": "Virtual Machine Threat Detection",
      "processes": [],
      "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "severity": "MEDIUM",
      "sourceDisplayName": "Virtual Machine Threat Detection",
      "state": "ACTIVE",
      "vulnerability": {},
      "workflowState": "NEW"
    },
    "resource": {
      "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "display_name": "DISPLAY_NAME",
      "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "project_display_name": "PROJECT_ID",
      "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "parent_display_name": "DISPLAY_NAME",
      "type": "google.compute.Instance",
      "folders": []
    },
    "sourceProperties": {}
  }
      

Defense Evasion: Unexpected kernel read-only data modificationVista previa

  {
    "findings": {
      "access": {},
      "assetDisplayName": "DISPLAY_NAME",
      "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
      "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
      "category": "Defense Evasion: Unexpected kernel read-only data modification",
      "createTime": "2023-01-12T00:39:33.007Z",
      "database": {},
      "eventTime": "2023-01-11T21:24:05.326Z",
      "exfiltration": {},
      "findingClass": "THREAT",
      "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
      "indicator": {},
      "kernelRootkit": {},
      "kubernetes": {},
      "mitreAttack": {
        "version": "9"
      },
      "mute": "UNDEFINED",
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
      "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
      "parentDisplayName": "Virtual Machine Threat Detection",
      "processes": [],
      "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "severity": "MEDIUM",
      "sourceDisplayName": "Virtual Machine Threat Detection",
      "state": "ACTIVE",
      "vulnerability": {},
      "workflowState": "NEW"
    },
    "resource": {
      "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "display_name": "DISPLAY_NAME",
      "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "project_display_name": "PROJECT_ID",
      "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "parent_display_name": "DISPLAY_NAME",
      "type": "google.compute.Instance",
      "folders": []
    },
    "sourceProperties": {}
  }
      

Defense Evasion: Unexpected kprobe handlerVersión preliminar

  {
    "findings": {
      "access": {},
      "assetDisplayName": "DISPLAY_NAME",
      "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
      "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
      "category": "Defense Evasion: Unexpected kprobe handler",
      "createTime": "2023-01-12T00:39:33.007Z",
      "database": {},
      "eventTime": "2023-01-11T21:24:05.326Z",
      "exfiltration": {},
      "findingClass": "THREAT",
      "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
      "indicator": {},
      "kernelRootkit": {},
      "kubernetes": {},
      "mitreAttack": {
        "version": "9"
      },
      "mute": "UNDEFINED",
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
      "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
      "parentDisplayName": "Virtual Machine Threat Detection",
      "processes": [],
      "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "severity": "MEDIUM",
      "sourceDisplayName": "Virtual Machine Threat Detection",
      "state": "ACTIVE",
      "vulnerability": {},
      "workflowState": "NEW"
    },
    "resource": {
      "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "display_name": "DISPLAY_NAME",
      "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "project_display_name": "PROJECT_ID",
      "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "parent_display_name": "DISPLAY_NAME",
      "type": "google.compute.Instance",
      "folders": []
    },
    "sourceProperties": {}
  }
      

Defense Evasion: Unexpected processes in runqueueVista previa

  {
    "findings": {
      "access": {},
      "assetDisplayName": "DISPLAY_NAME",
      "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
      "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
      "category": "Defense Evasion: Unexpected processes in runqueue",
      "createTime": "2023-01-12T00:39:33.007Z",
      "database": {},
      "eventTime": "2023-01-11T21:24:05.326Z",
      "exfiltration": {},
      "findingClass": "THREAT",
      "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
      "indicator": {},
      "kernelRootkit": {},
      "kubernetes": {},
      "mitreAttack": {
        "version": "9"
      },
      "mute": "UNDEFINED",
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
      "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
      "parentDisplayName": "Virtual Machine Threat Detection",
      "processes": [],
      "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "severity": "MEDIUM",
      "sourceDisplayName": "Virtual Machine Threat Detection",
      "state": "ACTIVE",
      "vulnerability": {},
      "workflowState": "NEW"
    },
    "resource": {
      "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "display_name": "DISPLAY_NAME",
      "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "project_display_name": "PROJECT_ID",
      "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "parent_display_name": "DISPLAY_NAME",
      "type": "google.compute.Instance",
      "folders": []
    },
    "sourceProperties": {}
  }
      

Defense Evasion: Unexpected system call handlerVista previa

  {
    "findings": {
      "access": {},
      "assetDisplayName": "DISPLAY_NAME",
      "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
      "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
      "category": "Defense Evasion: Unexpected system call handler",
      "createTime": "2023-01-12T00:39:33.007Z",
      "database": {},
      "eventTime": "2023-01-11T21:24:05.326Z",
      "exfiltration": {},
      "findingClass": "THREAT",
      "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
      "indicator": {},
      "kernelRootkit": {},
      "kubernetes": {},
      "mitreAttack": {
        "version": "9"
      },
      "mute": "UNDEFINED",
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
      "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
      "parentDisplayName": "Virtual Machine Threat Detection",
      "processes": [],
      "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "severity": "MEDIUM",
      "sourceDisplayName": "Virtual Machine Threat Detection",
      "state": "ACTIVE",
      "vulnerability": {},
      "workflowState": "NEW"
    },
    "resource": {
      "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "display_name": "DISPLAY_NAME",
      "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "project_display_name": "PROJECT_ID",
      "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "parent_display_name": "DISPLAY_NAME",
      "type": "google.compute.Instance",
      "folders": []
    },
    "sourceProperties": {}
  }
      

Execution: Cryptocurrency Mining Combined Detection

Este ejemplo muestra una amenaza que fue detectada por Módulos CRYPTOMINING_HASH y CRYPTOMINING_YARA

{
  "findings": {
    "access": {},
    "assetDisplayName": "DISPLAY_NAME",
    "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
    "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "category": "Execution: Cryptocurrency Mining Combined Detection",
    "createTime": "2023-01-05T01:40:48.994Z",
    "database": {},
    "eventTime": "2023-01-05T01:39:36.876Z",
    "exfiltration": {},
    "findingClass": "THREAT",
    "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
    "indicator": {
      "signatures": [
        {
          "yaraRuleSignature": {
            "yaraRule": "YARA_RULE1"
          }
        },
        {
          "yaraRuleSignature": {
            "yaraRule": "YARA_RULE9"
          }
        },
        {
          "yaraRuleSignature": {
            "yaraRule": "YARA_RULE10"
          }
        },
        {
          "yaraRuleSignature": {
            "yaraRule": "YARA_RULE25"
          }
        },
        {
          "memoryHashSignature": {
            "binaryFamily": "XMRig",
            "detections": [
              {
                "binary": "linux-x86-64_xmrig_6.12.2",
                "percentPagesMatched": 1
              }
            ]
          }
        }
      ]
    },
    "kernelRootkit": {},
    "kubernetes": {},
    "mitreAttack": {
      "version": "9"
    },
    "mute": "UNDEFINED",
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
    "parentDisplayName": "Virtual Machine Threat Detection",
    "processes": [
      {
        "binary": {
          "path": "BINARY_PATH"
        },
        "script": {},
        "args": [
          "./miner",
          ""
        ],
        "pid": "123",
        "parentPid": "456",
        "name": "miner"
      }
    ],
    "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
    "severity": "HIGH",
    "sourceDisplayName": "Virtual Machine Threat Detection",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
    "display_name": "DISPLAY_NAME",
    "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "project_display_name": "DISPLAY_NAME",
    "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "parent_display_name": "DISPLAY_NAME",
    "type": "google.compute.Instance",
    "folders": []
  },
  "sourceProperties": {}
}
    

Execution: Cryptocurrency Mining Hash Match Detection

{
  "findings": {
    "access": {},
    "assetDisplayName": "DISPLAY_NAME",
    "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
    "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "category": "Execution: Cryptocurrency Mining Hash Match",
    "createTime": "2023-01-05T01:40:48.994Z",
    "database": {},
    "eventTime": "2023-01-05T01:39:36.876Z",
    "exfiltration": {},
    "findingClass": "THREAT",
    "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
    "indicator": {
      "signatures": [
        {
          "memoryHashSignature": {
            "binaryFamily": "XMRig",
            "detections": [
              {
                "binary": "linux-x86-64_xmrig_6.12.2",
                "percentPagesMatched": 1
              }
            ]
          }
        }
      ]
    },
    "kernelRootkit": {},
    "kubernetes": {},
    "mitreAttack": {
      "version": "9"
    },
    "mute": "UNDEFINED",
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
    "parentDisplayName": "Virtual Machine Threat Detection",
    "processes": [
      {
        "binary": {
          "path": "BINARY_PATH"
        },
        "script": {},
        "args": [
          "./miner",
          ""
        ],
        "pid": "123",
        "parentPid": "456",
        "name": "miner"
      }
    ],
    "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
    "severity": "HIGH",
    "sourceDisplayName": "Virtual Machine Threat Detection",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
    "display_name": "DISPLAY_NAME",
    "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "project_display_name": "DISPLAY_NAME",
    "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "parent_display_name": "DISPLAY_NAME",
    "type": "google.compute.Instance",
    "folders": []
  },
  "sourceProperties": {}
}
    

Execution: Cryptocurrency Mining YARA Rule

{
  "findings": {
    "access": {},
    "assetDisplayName": "DISPLAY_NAME",
    "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
    "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "category": "Execution: Cryptocurrency Mining YARA Rule",
    "createTime": "2023-01-05T00:37:38.450Z",
    "database": {},
    "eventTime": "2023-01-05T01:12:48.828Z",
    "exfiltration": {},
    "findingClass": "THREAT",
    "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
    "indicator": {
      "signatures": [
        {
          "yaraRuleSignature": {
            "yaraRule": "YARA_RULE9"
          }
        },
        {
          "yaraRuleSignature": {
            "yaraRule": "YARA_RULE10"
          }
        },
        {
          "yaraRuleSignature": {
            "yaraRule": "YARA_RULE25"
          }
        }
      ]
    },
    "kernelRootkit": {},
    "kubernetes": {},
    "mitreAttack": {
      "version": "9"
    },
    "mute": "UNDEFINED",
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
    "parentDisplayName": "Virtual Machine Threat Detection",
    "processes": [
      {
        "binary": {
          "path": "BINARY_PATH"
        },
        "script": {},
        "args": [
          "./miner",
          ""
        ],
        "pid": "123",
        "parentPid": "456",
        "name": "miner"
      }
    ],
    "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
    "severity": "HIGH",
    "sourceDisplayName": "Virtual Machine Threat Detection",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
    "display_name": "DISPLAY_NAME",
    "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "project_display_name": "DISPLAY_NAME",
    "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "parent_display_name": "DISPLAY_NAME",
    "type": "google.compute.Instance",
    "folders": []
  },
  "sourceProperties": {}
}
    

Malware: Malicious file on disk (YARA)

{
  "findings": {
    "assetDisplayName": "DISPLAY_NAME",
    "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
    "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "category": "Malware: Malicious file on disk (YARA)",
    "createTime": "2023-01-05T00:37:38.450Z",
    "eventTime": "2023-01-05T01:12:48.828Z",
    "findingClass": "THREAT",
    "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
    "indicator": {
      "signatures": [
        {
          "yaraRuleSignature": {
            "yaraRule": "M_Backdoor_REDSONJA_1"
          },
          "signatureType": "SIGNATURE_TYPE_FILE",
        },
        {
          "yaraRuleSignature": {
            "yaraRule": "M_Backdoor_REDSONJA_2"
          },
          "signatureType": "SIGNATURE_TYPE_FILE",
        }
      ]
    },
    "mute": "UNDEFINED",
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
    "parentDisplayName": "Virtual Machine Threat Detection",
    "files": [
      {
        "diskPath": {
          "partition_uuid": "b411dc99-f0a0-4c87-9e05-184977be8539",
          "relative_path": "RELATIVE_PATH"
        },
        "size": "21238",
        "sha256": "65d860160bdc9b98abf72407e14ca40b609417de7939897d3b58d55787aaef69",
        "hashedSize": "21238"
      }
    ],
    "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
    "severity": "HIGH",
    "sourceDisplayName": "Virtual Machine Threat Detection",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
    "display_name": "DISPLAY_NAME",
    "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "project_display_name": "DISPLAY_NAME",
    "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "parent_display_name": "DISPLAY_NAME",
    "type": "google.compute.Instance",
    "folders": []
  },
  "sourceProperties": {}
}
    

Cambia el estado de los resultados

Cuando resuelves amenazas identificadas por VM Threat Detection, el servicio no establece automáticamente el estado de un resultado en Inactivo en análisis posteriores. Debido a la naturaleza de nuestro dominio de amenazas, VM Threat Detection no puede determinar si una amenaza se mitiga o si cambió para evitar la detección.

Cuando tus equipos de seguridad estén satisfechos con la mitigación de una amenaza, pueden realizar los siguientes pasos para cambiar el estado de los resultados a inactivo.

  1. Ve a la página Resultados de Security Command Center en la consola de Google Cloud.

    Ir a hallazgos

  2. Junto a Ver por, haz clic en Tipo de fuente.

  3. En la lista Tipo de fuente, selecciona Virtual Machine Threat Detection. Una tabla se propaga con los resultados para el tipo de fuente que seleccionaste.

  4. Selecciona la casilla de verificación junto a los resultados que se resuelven.

  5. Haz clic en Cambiar el estado activo.

  6. Haz clic en Inactivo.

Habilita o inhabilita VM Threat Detection

VM Threat Detection está habilitada de forma predeterminada para todos los clientes que se inscriben en Security Command Center Premium después del 15 de julio de 2022, fecha en la que pasó a estar disponible de forma general. Si es necesario, puedes inhabilitarlo o volver a habilitarlo manualmente. para tu organización o proyecto.

Cuando habilitas VM Threat Detection en una organización o proyecto, el servicio analiza automáticamente todos los recursos compatibles en esa organización o proyecto. Por el contrario, cuando inhabilitas VM Threat Detection en una organización o proyecto, el servicio deja de analizar todos los recursos compatibles.

Para habilitar o inhabilitar VM Threat Detection, haz lo siguiente:

Console

En la consola de Google Cloud, puedes habilitar o inhabilitar VM Threat Detection. a través de la pestaña Servicios en la página Configuración.

Ir a Servicios

Para obtener más información, consulta Habilita o inhabilita un servicio integrado.

cURL

envía una solicitud PATCH:

curl -X PATCH -H "Authorization: Bearer \"$(gcloud auth print-access-token)\"" \
-H "Content-Type: application/json; charset=utf-8" \
-H "X-Goog-User-Project: X_GOOG_USER_PROJECT" \
https://securitycenter.googleapis.com/v1beta2/RESOURCE/RESOURCE_ID/virtualMachineThreatDetectionSettings \
-d '{"serviceEnablementState": "NEW_STATE"}'

Reemplaza lo siguiente:

  • X_GOOG_USER_PROJECT: Es el proyecto que se facturará por los cargos de acceso asociados con los análisis de VM Threat Detection.
  • RESOURCE: Es el tipo de recurso que se analizará (organizations o projects).
  • RESOURCE_ID: Es el identificador de la organización o el proyecto en el que deseas habilitar o inhabilitar VM Threat Detection.
  • NEW_STATE: Es el estado en el que deseas que esté la detección de amenazas de VM. (ENABLED o DISABLED).

gcloud

Ejecuta el siguiente comando:

gcloud alpha scc settings services ACTION --RESOURCE RESOURCE_ID \
    --service VIRTUAL_MACHINE_THREAT_DETECTION

Reemplaza lo siguiente:

  • ACTION: la acción que deseas realizar en la VM Threat Detection servicio (enable o disable).
  • RESOURCE: Es el tipo de recurso en el que deseas habilitar o inhabilitar VM Threat Detection (organization o project).
  • RESOURCE_ID: Es el identificador de la organización o el proyecto en el que deseas habilitar o inhabilitar VM Threat Detection.

Habilita o inhabilita un módulo de VM Threat Detection

Para habilitar o inhabilitar un detector de amenazas de VM individual, también conocido como module, haz lo siguiente. Los cambios pueden demorar hasta una hora en aplicarse efecto.

Para obtener información sobre todos los resultados de amenazas de VM Threat Detection y los módulos que los generan, consulta la tabla Resultados de amenazas.

Console

Consulta Habilitar o inhabilitar un módulo.

cURL

Para habilitar o inhabilitar un módulo de VM Threat Detection en tu organización o envía una solicitud PATCH:

curl -X PATCH -H "Authorization: Bearer \"$(gcloud auth print-access-token)\"" \
    -H "Content-Type: application/json; charset=utf-8" \
    -H "X-Goog-User-Project: X_GOOG_USER_PROJECT" \
    https://securitycenter.googleapis.com/v1beta2/RESOURCE/RESOURCE_ID/virtualMachineThreatDetectionSettings \
    -d '{"modules": {"MODULE": {"module_enablement_state": "NEW_STATE"}}}'

Reemplaza lo siguiente:

  • X_GOOG_USER_PROJECT: El proyecto al que se facturan los cargos de acceso asociados con los análisis de VM Threat Detection.
  • RESOURCE: Es el tipo de recurso que deseas habilitar o inhabilitar. (organizations o projects).
  • RESOURCE_ID: Es el ID de la organización o el proyecto que deseas. habilitar o inhabilitar el módulo.
  • MODULE: Es el módulo que deseas habilitar o inhabilitar, por ejemplo, CRYPTOMINING_HASH.
  • NEW_STATE: Es el estado en el que deseas que esté el módulo (ENABLED o DISABLED).

gcloud

Para habilitar o inhabilitar un módulo de VM Threat Detection en tu organización o proyecto, ejecuta el siguiente comando:

gcloud alpha scc settings services modules ACTION --RESOURCE RESOURCE_ID \
    --service VIRTUAL_MACHINE_THREAT_DETECTION --module MODULE

Reemplaza lo siguiente:

  • ACTION: La acción que deseas realizar en el módulo (enable o disable).
  • RESOURCE: Es el tipo de recurso que deseas habilitar o inhabilitar. (organization o project).
  • RESOURCE_ID: Es el ID de la organización o el proyecto que deseas. habilitar o inhabilitar el módulo.
  • MODULE: Es el módulo que deseas habilitar o inhabilitar para Por ejemplo, CRYPTOMINING_HASH.

Ver la configuración de los módulos de VM Threat Detection

Para obtener información sobre todos los hallazgos de amenazas de VM Threat Detection y los módulos que las generan, consulta el artículo Threat resultados desde una tabla de particiones.

Console

Consulta Visualiza los módulos de un servicio.

cURL

envía una solicitud GET:

curl -X GET -H "Authorization: Bearer \"$(gcloud auth print-access-token)\"" \
    -H "Content-Type: application/json; charset=utf-8" \
    -H "X-Goog-User-Project: X_GOOG_USER_PROJECT" \
    https://securitycenter.googleapis.com/v1beta2/RESOURCE/RESOURCE_ID/virtualMachineThreatDetectionSettings:calculate

Reemplaza lo siguiente:

  • X_GOOG_USER_PROJECT: El proyecto al que se facturan los cargos de acceso asociados con los análisis de VM Threat Detection.
  • RESOURCE: Es el tipo de recurso del que deseas ver el archivo. configuración del módulo.
  • RESOURCE_ID: Es el ID de la organización o el proyecto para el que deseas realizar la acción. para ver la configuración del módulo.

gcloud

Para ver la configuración de un solo módulo, ejecuta el siguiente comando:

gcloud alpha scc settings services modules describe --RESOURCE RESOURCE_ID \
    --service VIRTUAL_MACHINE_THREAT_DETECTION --module MODULE

Para ver la configuración de todos los módulos, ejecuta el siguiente comando:

gcloud alpha scc settings services describe --RESOURCE RESOURCE_ID \
    --service VIRTUAL_MACHINE_THREAT_DETECTION

Reemplaza lo siguiente:

  • RESOURCE: Es el tipo de recurso del que deseas ver el archivo. configuración del módulo (organization o project).
  • RESOURCE_ID: Es el ID de la organización o el proyecto para el que deseas realizar la acción. para ver la configuración del módulo.
  • MODULE: Es el módulo que deseas ver. Por ejemplo, CRYPTOMINING_HASH.

Nombres de software y reglas YARA para la detección de minería de criptomonedas

Las siguientes listas incluyen los nombres de los objetos binarios y las reglas YARA que activan de la minería de criptomonedas. Para ver las listas, expande los nodos.

Execution: Cryptocurrency Mining Hash Match

  • Arionum CPU miner: Software de minería de criptomonedas Arionum
  • Avermore: Software de minería para criptomonedas basadas en scrypt
  • Beam CUDA miner: software de minería para criptomonedas basadas en Equihash
  • Beam OpenCL miner: software de minería para criptomonedas basadas en Equihash
  • BFGMiner: Software de minería basado en ASIC/FPGA para Bitcoin
  • BMiner: Software de minería para varias criptomonedas
  • Transmisión de XMR: software de minería de Basado en CryptoNight criptomonedas
  • ccminer: Software de minería basado en CUDA
  • cgminer: Software de minería basado en ASIC/FPGA para Bitcoin
  • Claymore's miner: Software de minería basado en GPU para varias criptomonedas
  • CPUMiner: Familia de software de minería basado en CPU
  • CryptoDredge: Familia de software de minería para CryptoDredge
  • CriptoGoblin: software de minería de Basado en CryptoNight criptomonedas
  • DamoMiner: software de minería basado en GPU para Ethereum y otras criptomonedas
  • DigitsMiner: Software de minería para Digits
  • EasyMiner: Software de minería para Bitcoin y otras criptomonedas
  • Ethminer: Software de minería para Ethereum y otras criptomonedas
  • EWBF: software de minería para criptomonedas basadas en Equihash
  • FinMiner: software de minería para Ethash y Basado en CryptoNight criptomonedas
  • Funakoshi Miner: Software de minería para criptomonedas de Bitcoin-Gold
  • Geth: Software de minería para Ethereum
  • GMiner: Software de minería para varias criptomonedas
  • gominer: Software de minería para Decred
  • GrinGoldMiner: Software de minería para Grin
  • Hush: Software de minería de criptomonedas basadas en Zcash
  • IxiMiner: Software de minería para Ixian
  • kawpowminer: Software de minería para Ravencoin
  • Komodo: Familia de software de minería para Komodo
  • lolMiner: Software de minería para varias criptomonedas
  • lukMiner: Software de minería para varias criptomonedas
  • MinerGate: Software de minería para varias criptomonedas
  • miniZ: software de minería para criptomonedas basadas en Equihash
  • Mirai: software malicioso que se puede usar para extraer criptomonedas
  • MultiMiner: Software de minería para varias criptomonedas
  • nanominer: Software de minería para varias criptomonedas
  • NBMiner: Software de minería para varias criptomonedas
  • Nevermore: minería de software para varias criptomonedas
  • nheqminer: Software de minería para NiceHash
  • NinjaRig: software de minería para criptomonedas basadas en Argon2
  • NodeCore PoW CUDA Miner: Software de minería para VeriBlock
  • NoncerPro: Software de minería para Nimiq
  • Optiminer/Equihash: Software de minería para criptomonedas basadas en Equihash
  • PascalCoin: Familia de software de minería para PascalCoin
  • PhoenixMiner: Software de minería para Ethereum
  • Pooler CPU Miner: Software de minería para Litecoin y Bitcoin
  • ProgPoW Miner: Software de minería para Ethereum y otras criptomonedas
  • rhminer: Software de minería para PascalCoin
  • sgminer: Software de minería para criptomonedas basadas en scrypt
  • simplecoin: Familia de software de minería para SimpleCoin basado en scrypt
  • Skypool Nimiq Miner: Software de minería para Nimiq
  • ExchangeReferenceMiner: Software de minería de Grin
  • Team Red Miner: Software de minería basado en AMD para varias criptomonedas
  • T-Rex: Software de minería para varias criptomonedas
  • TT-Miner: Software de minería para varias criptomonedas
  • Ubqminer: Software de minería de criptomonedas basadas en Ubqhash
  • VersusCoin: Software de minería para VersusCoin
  • violetminer: Software de minería para criptomonedas basadas en Argon2
  • webchain-miner: Software de minería para MintMe
  • WildRig: Software de minería para varias criptomonedas
  • XCASH_ALL_Miner: Software de minería para XCASH
  • xFash: Software de minería para MinerGate
  • XLArig: software de minería de Basado en CryptoNight criptomonedas
  • XMRig: Software de minería para varias criptomonedas
  • Xmr-Stak: software de minería de Basado en CryptoNight criptomonedas
  • XMR-Stak TurtleCoin: software de minería de Basado en CryptoNight criptomonedas
  • Xtl-Stak: software de minería de Basado en CryptoNight criptomonedas
  • Yam Miner: Software de minería para MinerGate
  • YCash: Software de minería para YCash
  • ZCoin: Software de minería para ZCoin/Fire
  • Zealot/Enemy: Software de minería para varias criptomonedas
  • Indicador de minera de criptomoneda1

1 Este nombre genérico de amenaza indica que un miner de criptomonedas desconocido puede operar en la VM, pero VM Threat Detection no tiene información específica sobre el miner.

Execution: Cryptocurrency Mining YARA Rule

  • YARA_RULE1: Coincide con el software de minería de Monero
  • YARA_RULE9: Coincide con el software de minería que usa el algoritmo de cifrado Blake2 y AES
  • YARA_RULE10: Coincide con el software de minería que usa la rutina de prueba de trabajo de CryptoNight
  • YARA_RULE15: Coincide con el software de minería de NBMiner
  • YARA_RULE17: Coincide con el software de minería que usa la rutina de prueba de trabajo de Scrypt
  • YARA_RULE18: coincide con el software de minería que usa la Comprobante de trabajo de Scrypt rutina
  • YARA_RULE19: Coincide con el software de minería de BFGMiner
  • YARA_RULE24: Coincide con el software de minería de XMR-Stak
  • YARA_RULE25: Coincide con el software de minería de XMRig
  • DYNAMIC_YARA_RULE_BFGMINER_2: Coincide con el software de minería. para BFGMiner

¿Qué sigue?