Questa pagina è stata tradotta dall'API Cloud Translation.

Utilizzo di Virtual Machine Threat Detection

Questa pagina descrive come visualizzare e gestire i risultati di Rilevamento minacce VM. Inoltre, spiega come attivare o disattivare il servizio e i relativi moduli.

Panoramica

Virtual Machine Threat Detection, un servizio integrato di Security Command Center Premium, il rilevamento delle minacce attraverso la strumentazione a livello di hypervisor e i disco permanente e analisi. VM Threat Detection rileva applicazioni potenzialmente dannose, come software di mining di criptovalute, rootkit in modalità kernel e malware in esecuzione in ambienti cloud compromessi.

VM Threat Detection fa parte del rilevamento delle minacce di Security Command Center Premium ed è progettato per integrare le funzionalità esistenti Event Threat Detection e Container Threat Detection.

Per ulteriori informazioni, consulta la panoramica di Virtual Machine Threat Detection.

Costi

Dopo la registrazione a Security Command Center Premium, non sono previsti costi aggiuntivi per per utilizzare VM Threat Detection.

Prima di iniziare

Per utilizzare questa funzionalità, devi aver eseguito la registrazione a Security Command Center Premium.

Inoltre, devi disporre di ruoli IAM (Identity and Access Management) adeguati per visualizzare o modificare i risultati e modificare le risorse Google Cloud. Se si verificano errori di accesso in Security Command Center, chiedi assistenza al tuo amministratore. Per scoprire di più su vedi Controllo dell'accesso.

Testa il rilevamento delle minacce per VM

Per testare il rilevamento del mining di criptovalute di VM Threat Detection, puoi eseguire un'applicazione di mining di criptovalute sulla tua VM. Per un elenco di nomi binari regole YARA che attivare i risultati, consulta Nomi software e regole YARA. Se installi e testare applicazioni di data mining, ti consigliamo di eseguire le applicazioni solo in un ambiente di test isolato, di monitorarne attentamente l'utilizzo e di rimuoverle completamente al termine del test.

Per testare il rilevamento del malware di VM Threat Detection, puoi scaricare applicazioni malware sulla tua VM. Se scarichi malware, ti consigliamo di farlo in un ambiente di test isolato e rimuovili completamente dopo il test.

Esamina i risultati nella console Google Cloud

Per esaminare i risultati di Rilevamento minacce VM nella console Google Cloud, segui questi passaggi:

Nella console Google Cloud, vai alla pagina Risultati di Security Command Center.
Vai ai risultati
Seleziona il tuo progetto o la tua organizzazione Google Cloud.
Nella sezione Filtri rapidi, nella sottosezione Nome visualizzato origine, seleziona Rilevamento delle minacce alle macchine virtuali. I risultati della query sui risultati vengono aggiornati in modo da mostrare solo da questa fonte.
Per visualizzare i dettagli di un risultato specifico, fai clic sul suo nome in Categoria. La si apre il riquadro dei dettagli del risultato, che mostra la scheda Riepilogo.
Nella scheda Riepilogo, esamina i dettagli del risultato, incluse le informazioni è stato rilevato, la risorsa interessata e, se disponibile, i passaggi per correggere il risultato.
(Facoltativo) Per visualizzare la definizione JSON completa del risultato, fai clic su nella scheda JSON.

Per informazioni più dettagliate su come rispondere a ogni VM Threat Detection trovare, vedere Risposta di VM Threat Detection.

Per un elenco dei risultati di VM Threat Detection, consulta Risultati.

Gravità

Ai risultati del rilevamento delle minacce VM vengono assegnati i livelli di gravità Alta, Media e Bassa in base alla confidenza della classificazione della minaccia.

Rilevamenti combinati

I rilevamenti combinati si verificano quando vengono rilevate più categorie di risultati in un giorno. I risultati possono essere causati da una o più applicazioni dannose. Ad esempio, una singola applicazione può attivare contemporaneamente Execution: Cryptocurrency Mining YARA Rule e Execution: Cryptocurrency Mining Hash Match risultati. Tuttavia, tutte le minacce rilevate da un'unica fonte nello stesso giorno vengono raggruppati in un risultato di rilevamento combinato. Nella giorni seguenti, se vengono rilevate altre minacce, anche le stesse, vengono associati a nuovi risultati.

Per un esempio di rilevamento combinato, consulta Formati di risultati di esempio.

Esempi di formati dei risultati

Questi esempi di output JSON contengono campi comuni a VM Threat Detection i risultati. Ogni esempio mostra solo i campi pertinenti al tipo di risultato. questo elemento non fornisce elenco completo dei campi.

Puoi esportare i risultati tramite la console di Security Command Center o elencarli tramite l'API Security Command Center.

Per visualizzare gli esempi di risultati, espandi uno o più dei seguenti nodi. Per informazioni su ciascun campo del rilevamento, consulta Finding.

`Defense Evasion: Rootkit` (Anteprima)

Questo esempio di output mostra il rilevamento di un rootkit in modalità kernel noto: Diamorphine.

{
  "findings": {
    "access": {},
    "assetDisplayName": "DISPLAY_NAME",
    "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
    "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
    "category": "Defense Evasion: Rootkit",
    "createTime": "2023-01-12T00:39:33.007Z",
    "database": {},
    "eventTime": "2023-01-11T21:24:05.326Z",
    "exfiltration": {},
    "findingClass": "THREAT",
    "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
    "indicator": {},
    "kernelRootkit": {
      "name": "Diamorphine",
      "unexpected_kernel_code_pages": true,
      "unexpected_system_call_handler": true
    },
    "kubernetes": {},
    "mitreAttack": {
      "version": "9"
    },
    "mute": "UNDEFINED",
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
    "parentDisplayName": "Virtual Machine Threat Detection",
    "processes": [],
    "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
    "severity": "HIGH",
    "sourceDisplayName": "Virtual Machine Threat Detection",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
    "display_name": "DISPLAY_NAME",
    "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
    "project_display_name": "PROJECT_ID",
    "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
    "parent_display_name": "DISPLAY_NAME",
    "type": "google.compute.Instance",
    "folders": []
  },
  "sourceProperties": {}
}

`Defense Evasion: Unexpected ftrace handler` (Anteprima)

  {
    "findings": {
      "access": {},
      "assetDisplayName": "DISPLAY_NAME",
      "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
      "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
      "category": "Defense Evasion: Unexpected ftrace handler",
      "createTime": "2023-01-12T00:39:33.007Z",
      "database": {},
      "eventTime": "2023-01-11T21:24:05.326Z",
      "exfiltration": {},
      "findingClass": "THREAT",
      "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
      "indicator": {},
      "kernelRootkit": {},
      "kubernetes": {},
      "mitreAttack": {
        "version": "9"
      },
      "mute": "UNDEFINED",
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
      "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
      "parentDisplayName": "Virtual Machine Threat Detection",
      "processes": [],
      "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "severity": "MEDIUM",
      "sourceDisplayName": "Virtual Machine Threat Detection",
      "state": "ACTIVE",
      "vulnerability": {},
      "workflowState": "NEW"
    },
    "resource": {
      "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "display_name": "DISPLAY_NAME",
      "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "project_display_name": "PROJECT_ID",
      "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "parent_display_name": "DISPLAY_NAME",
      "type": "google.compute.Instance",
      "folders": []
    },
    "sourceProperties": {}
  }

`Defense Evasion: Unexpected interrupt handler` (Anteprima)

  {
    "findings": {
      "access": {},
      "assetDisplayName": "DISPLAY_NAME",
      "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
      "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
      "category": "Defense Evasion: Unexpected interrupt handler",
      "createTime": "2023-01-12T00:39:33.007Z",
      "database": {},
      "eventTime": "2023-01-11T21:24:05.326Z",
      "exfiltration": {},
      "findingClass": "THREAT",
      "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
      "indicator": {},
      "kernelRootkit": {},
      "kubernetes": {},
      "mitreAttack": {
        "version": "9"
      },
      "mute": "UNDEFINED",
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
      "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
      "parentDisplayName": "Virtual Machine Threat Detection",
      "processes": [],
      "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "severity": "MEDIUM",
      "sourceDisplayName": "Virtual Machine Threat Detection",
      "state": "ACTIVE",
      "vulnerability": {},
      "workflowState": "NEW"
    },
    "resource": {
      "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "display_name": "DISPLAY_NAME",
      "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "project_display_name": "PROJECT_ID",
      "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "parent_display_name": "DISPLAY_NAME",
      "type": "google.compute.Instance",
      "folders": []
    },
    "sourceProperties": {}
  }

`Defense Evasion: Unexpected kernel code modification` (Anteprima)

  {
    "findings": {
      "access": {},
      "assetDisplayName": "DISPLAY_NAME",
      "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
      "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
      "category": "Defense Evasion: Unexpected kernel code modification",
      "createTime": "2023-01-12T00:39:33.007Z",
      "database": {},
      "eventTime": "2023-01-11T21:24:05.326Z",
      "exfiltration": {},
      "findingClass": "THREAT",
      "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
      "indicator": {},
      "kernelRootkit": {},
      "kubernetes": {},
      "mitreAttack": {
        "version": "9"
      },
      "mute": "UNDEFINED",
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
      "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
      "parentDisplayName": "Virtual Machine Threat Detection",
      "processes": [],
      "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "severity": "MEDIUM",
      "sourceDisplayName": "Virtual Machine Threat Detection",
      "state": "ACTIVE",
      "vulnerability": {},
      "workflowState": "NEW"
    },
    "resource": {
      "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "display_name": "DISPLAY_NAME",
      "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "project_display_name": "PROJECT_ID",
      "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "parent_display_name": "DISPLAY_NAME",
      "type": "google.compute.Instance",
      "folders": []
    },
    "sourceProperties": {}
  }

`Defense Evasion: Unexpected kernel modules` (Anteprima)

  {
    "findings": {
      "access": {},
      "assetDisplayName": "DISPLAY_NAME",
      "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
      "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
      "category": "Defense Evasion: Unexpected kernel modules",
      "createTime": "2023-01-12T00:39:33.007Z",
      "database": {},
      "eventTime": "2023-01-11T21:24:05.326Z",
      "exfiltration": {},
      "findingClass": "THREAT",
      "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
      "indicator": {},
      "kernelRootkit": {},
      "kubernetes": {},
      "mitreAttack": {
        "version": "9"
      },
      "mute": "UNDEFINED",
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
      "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
      "parentDisplayName": "Virtual Machine Threat Detection",
      "processes": [],
      "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "severity": "MEDIUM",
      "sourceDisplayName": "Virtual Machine Threat Detection",
      "state": "ACTIVE",
      "vulnerability": {},
      "workflowState": "NEW"
    },
    "resource": {
      "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "display_name": "DISPLAY_NAME",
      "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "project_display_name": "PROJECT_ID",
      "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "parent_display_name": "DISPLAY_NAME",
      "type": "google.compute.Instance",
      "folders": []
    },
    "sourceProperties": {}
  }

`Defense Evasion: Unexpected kernel read-only data modification` (Anteprima)

  {
    "findings": {
      "access": {},
      "assetDisplayName": "DISPLAY_NAME",
      "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
      "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
      "category": "Defense Evasion: Unexpected kernel read-only data modification",
      "createTime": "2023-01-12T00:39:33.007Z",
      "database": {},
      "eventTime": "2023-01-11T21:24:05.326Z",
      "exfiltration": {},
      "findingClass": "THREAT",
      "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
      "indicator": {},
      "kernelRootkit": {},
      "kubernetes": {},
      "mitreAttack": {
        "version": "9"
      },
      "mute": "UNDEFINED",
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
      "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
      "parentDisplayName": "Virtual Machine Threat Detection",
      "processes": [],
      "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "severity": "MEDIUM",
      "sourceDisplayName": "Virtual Machine Threat Detection",
      "state": "ACTIVE",
      "vulnerability": {},
      "workflowState": "NEW"
    },
    "resource": {
      "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "display_name": "DISPLAY_NAME",
      "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "project_display_name": "PROJECT_ID",
      "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "parent_display_name": "DISPLAY_NAME",
      "type": "google.compute.Instance",
      "folders": []
    },
    "sourceProperties": {}
  }

`Defense Evasion: Unexpected kprobe handler` (Anteprima)

  {
    "findings": {
      "access": {},
      "assetDisplayName": "DISPLAY_NAME",
      "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
      "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
      "category": "Defense Evasion: Unexpected kprobe handler",
      "createTime": "2023-01-12T00:39:33.007Z",
      "database": {},
      "eventTime": "2023-01-11T21:24:05.326Z",
      "exfiltration": {},
      "findingClass": "THREAT",
      "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
      "indicator": {},
      "kernelRootkit": {},
      "kubernetes": {},
      "mitreAttack": {
        "version": "9"
      },
      "mute": "UNDEFINED",
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
      "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
      "parentDisplayName": "Virtual Machine Threat Detection",
      "processes": [],
      "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "severity": "MEDIUM",
      "sourceDisplayName": "Virtual Machine Threat Detection",
      "state": "ACTIVE",
      "vulnerability": {},
      "workflowState": "NEW"
    },
    "resource": {
      "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "display_name": "DISPLAY_NAME",
      "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "project_display_name": "PROJECT_ID",
      "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "parent_display_name": "DISPLAY_NAME",
      "type": "google.compute.Instance",
      "folders": []
    },
    "sourceProperties": {}
  }

`Defense Evasion: Unexpected processes in runqueue` (Anteprima)

  {
    "findings": {
      "access": {},
      "assetDisplayName": "DISPLAY_NAME",
      "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
      "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
      "category": "Defense Evasion: Unexpected processes in runqueue",
      "createTime": "2023-01-12T00:39:33.007Z",
      "database": {},
      "eventTime": "2023-01-11T21:24:05.326Z",
      "exfiltration": {},
      "findingClass": "THREAT",
      "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
      "indicator": {},
      "kernelRootkit": {},
      "kubernetes": {},
      "mitreAttack": {
        "version": "9"
      },
      "mute": "UNDEFINED",
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
      "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
      "parentDisplayName": "Virtual Machine Threat Detection",
      "processes": [],
      "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "severity": "MEDIUM",
      "sourceDisplayName": "Virtual Machine Threat Detection",
      "state": "ACTIVE",
      "vulnerability": {},
      "workflowState": "NEW"
    },
    "resource": {
      "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "display_name": "DISPLAY_NAME",
      "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "project_display_name": "PROJECT_ID",
      "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "parent_display_name": "DISPLAY_NAME",
      "type": "google.compute.Instance",
      "folders": []
    },
    "sourceProperties": {}
  }

`Defense Evasion: Unexpected system call handler` (Anteprima)

  {
    "findings": {
      "access": {},
      "assetDisplayName": "DISPLAY_NAME",
      "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
      "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
      "category": "Defense Evasion: Unexpected system call handler",
      "createTime": "2023-01-12T00:39:33.007Z",
      "database": {},
      "eventTime": "2023-01-11T21:24:05.326Z",
      "exfiltration": {},
      "findingClass": "THREAT",
      "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
      "indicator": {},
      "kernelRootkit": {},
      "kubernetes": {},
      "mitreAttack": {
        "version": "9"
      },
      "mute": "UNDEFINED",
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
      "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
      "parentDisplayName": "Virtual Machine Threat Detection",
      "processes": [],
      "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "severity": "MEDIUM",
      "sourceDisplayName": "Virtual Machine Threat Detection",
      "state": "ACTIVE",
      "vulnerability": {},
      "workflowState": "NEW"
    },
    "resource": {
      "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "display_name": "DISPLAY_NAME",
      "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "project_display_name": "PROJECT_ID",
      "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "parent_display_name": "DISPLAY_NAME",
      "type": "google.compute.Instance",
      "folders": []
    },
    "sourceProperties": {}
  }

`Execution: Cryptocurrency Mining Combined Detection`

Questo esempio di output mostra una minaccia rilevata sia dai moduli CRYPTOMINING_HASH che CRYPTOMINING_YARA.

{
  "findings": {
    "access": {},
    "assetDisplayName": "DISPLAY_NAME",
    "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
    "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "category": "Execution: Cryptocurrency Mining Combined Detection",
    "createTime": "2023-01-05T01:40:48.994Z",
    "database": {},
    "eventTime": "2023-01-05T01:39:36.876Z",
    "exfiltration": {},
    "findingClass": "THREAT",
    "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
    "indicator": {
      "signatures": [
        {
          "yaraRuleSignature": {
            "yaraRule": "YARA_RULE1"
          }
        },
        {
          "yaraRuleSignature": {
            "yaraRule": "YARA_RULE9"
          }
        },
        {
          "yaraRuleSignature": {
            "yaraRule": "YARA_RULE10"
          }
        },
        {
          "yaraRuleSignature": {
            "yaraRule": "YARA_RULE25"
          }
        },
        {
          "memoryHashSignature": {
            "binaryFamily": "XMRig",
            "detections": [
              {
                "binary": "linux-x86-64_xmrig_6.12.2",
                "percentPagesMatched": 1
              }
            ]
          }
        }
      ]
    },
    "kernelRootkit": {},
    "kubernetes": {},
    "mitreAttack": {
      "version": "9"
    },
    "mute": "UNDEFINED",
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
    "parentDisplayName": "Virtual Machine Threat Detection",
    "processes": [
      {
        "binary": {
          "path": "BINARY_PATH"
        },
        "script": {},
        "args": [
          "./miner",
          ""
        ],
        "pid": "123",
        "parentPid": "456",
        "name": "miner"
      }
    ],
    "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
    "severity": "HIGH",
    "sourceDisplayName": "Virtual Machine Threat Detection",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
    "display_name": "DISPLAY_NAME",
    "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "project_display_name": "DISPLAY_NAME",
    "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "parent_display_name": "DISPLAY_NAME",
    "type": "google.compute.Instance",
    "folders": []
  },
  "sourceProperties": {}
}

`Execution: Cryptocurrency Mining Hash Match Detection`

{
  "findings": {
    "access": {},
    "assetDisplayName": "DISPLAY_NAME",
    "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
    "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "category": "Execution: Cryptocurrency Mining Hash Match",
    "createTime": "2023-01-05T01:40:48.994Z",
    "database": {},
    "eventTime": "2023-01-05T01:39:36.876Z",
    "exfiltration": {},
    "findingClass": "THREAT",
    "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
    "indicator": {
      "signatures": [
        {
          "memoryHashSignature": {
            "binaryFamily": "XMRig",
            "detections": [
              {
                "binary": "linux-x86-64_xmrig_6.12.2",
                "percentPagesMatched": 1
              }
            ]
          }
        }
      ]
    },
    "kernelRootkit": {},
    "kubernetes": {},
    "mitreAttack": {
      "version": "9"
    },
    "mute": "UNDEFINED",
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
    "parentDisplayName": "Virtual Machine Threat Detection",
    "processes": [
      {
        "binary": {
          "path": "BINARY_PATH"
        },
        "script": {},
        "args": [
          "./miner",
          ""
        ],
        "pid": "123",
        "parentPid": "456",
        "name": "miner"
      }
    ],
    "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
    "severity": "HIGH",
    "sourceDisplayName": "Virtual Machine Threat Detection",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
    "display_name": "DISPLAY_NAME",
    "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "project_display_name": "DISPLAY_NAME",
    "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "parent_display_name": "DISPLAY_NAME",
    "type": "google.compute.Instance",
    "folders": []
  },
  "sourceProperties": {}
}

`Execution: Cryptocurrency Mining YARA Rule`

{
  "findings": {
    "access": {},
    "assetDisplayName": "DISPLAY_NAME",
    "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
    "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "category": "Execution: Cryptocurrency Mining YARA Rule",
    "createTime": "2023-01-05T00:37:38.450Z",
    "database": {},
    "eventTime": "2023-01-05T01:12:48.828Z",
    "exfiltration": {},
    "findingClass": "THREAT",
    "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
    "indicator": {
      "signatures": [
        {
          "yaraRuleSignature": {
            "yaraRule": "YARA_RULE9"
          }
        },
        {
          "yaraRuleSignature": {
            "yaraRule": "YARA_RULE10"
          }
        },
        {
          "yaraRuleSignature": {
            "yaraRule": "YARA_RULE25"
          }
        }
      ]
    },
    "kernelRootkit": {},
    "kubernetes": {},
    "mitreAttack": {
      "version": "9"
    },
    "mute": "UNDEFINED",
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
    "parentDisplayName": "Virtual Machine Threat Detection",
    "processes": [
      {
        "binary": {
          "path": "BINARY_PATH"
        },
        "script": {},
        "args": [
          "./miner",
          ""
        ],
        "pid": "123",
        "parentPid": "456",
        "name": "miner"
      }
    ],
    "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
    "severity": "HIGH",
    "sourceDisplayName": "Virtual Machine Threat Detection",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
    "display_name": "DISPLAY_NAME",
    "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "project_display_name": "DISPLAY_NAME",
    "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "parent_display_name": "DISPLAY_NAME",
    "type": "google.compute.Instance",
    "folders": []
  },
  "sourceProperties": {}
}

`Malware: Malicious file on disk (YARA)`

{
  "findings": {
    "assetDisplayName": "DISPLAY_NAME",
    "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
    "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "category": "Malware: Malicious file on disk (YARA)",
    "createTime": "2023-01-05T00:37:38.450Z",
    "eventTime": "2023-01-05T01:12:48.828Z",
    "findingClass": "THREAT",
    "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
    "indicator": {
      "signatures": [
        {
          "yaraRuleSignature": {
            "yaraRule": "M_Backdoor_REDSONJA_1"
          },
          "signatureType": "SIGNATURE_TYPE_FILE",
        },
        {
          "yaraRuleSignature": {
            "yaraRule": "M_Backdoor_REDSONJA_2"
          },
          "signatureType": "SIGNATURE_TYPE_FILE",
        }
      ]
    },
    "mute": "UNDEFINED",
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
    "parentDisplayName": "Virtual Machine Threat Detection",
    "files": [
      {
        "diskPath": {
          "partition_uuid": "b411dc99-f0a0-4c87-9e05-184977be8539",
          "relative_path": "RELATIVE_PATH"
        },
        "size": "21238",
        "sha256": "65d860160bdc9b98abf72407e14ca40b609417de7939897d3b58d55787aaef69",
        "hashedSize": "21238"
      }
    ],
    "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
    "severity": "HIGH",
    "sourceDisplayName": "Virtual Machine Threat Detection",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
    "display_name": "DISPLAY_NAME",
    "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "project_display_name": "DISPLAY_NAME",
    "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "parent_display_name": "DISPLAY_NAME",
    "type": "google.compute.Instance",
    "folders": []
  },
  "sourceProperties": {}
}

Modifica lo stato dei risultati

Quando risolvi le minacce identificate da VM Threat Detection, il servizio non imposta automaticamente lo stato di un risultato su Inattivo nelle scansioni successive. A causa della natura del nostro dominio di minacce, Rilevamento minacce VM non può determinare se una minaccia è stata attenuata o è cambiata per evitare il rilevamento.

Se i team di sicurezza sono convinti che una minaccia sia mitigata, possono segui questi passaggi per modificare lo stato dei risultati in non attivo.

Vai alla pagina Risultati di Security Command Center nella console Google Cloud.

Vai a Risultati
Accanto a Visualizza per, fai clic su Tipo di origine.
Nell'elenco Tipo di origine, seleziona Virtual Machine Threat Detection. Viene visualizzata una tabella con i risultati per il tipo di origine selezionato.
Seleziona la casella di controllo accanto ai risultati risolti.
Fai clic su Modifica stato attivo.
Fai clic su Non attivo.

Attivare o disattivare VM Threat Detection

Rilevamento minacce VM è abilitato per impostazione predefinita per tutti i clienti che si registrano a Security Command Center Premium dopo il 15 luglio 2022, data in cui questo servizio è diventato disponibile a livello generale. Se necessario, puoi disattivarlo o riattivarlo manualmente per il tuo progetto o la tua organizzazione.

Quando attivi il rilevamento delle minacce VM in un'organizzazione o un progetto, il servizio analizza automaticamente tutte le risorse supportate nell'organizzazione o nel progetto. Al contrario, se disattivi il rilevamento delle minacce VM in un'organizzazione o un progetto, il servizio interrompe l'analisi di tutte le risorse supportate al suo interno.

Per abilitare o disabilitare VM Threat Detection, segui questi passaggi:

Console

Nella console Google Cloud, vai alla pagina Abilitazione del servizio di rilevamento delle minacce per le VM.

Vai a Service Enablement
Nella colonna Virtual Machine Threat Detection, seleziona lo stato corrente e poi una delle seguenti opzioni:
- Attiva: attiva VM Threat Detection
- Disabilita: disabilita VM Threat Detection
- Eredita: eredita lo stato di attivazione dalla cartella o dall'organizzazione principale; disponibile solo per progetti e cartelle

gcloud

Il comando gcloud scc manage services update aggiorna lo stato di un servizio o modulo di Security Command Center.

Prima di utilizzare uno qualsiasi dei dati di comando riportati di seguito, effettua le seguenti sostituzioni:

RESOURCE_TYPE: tipo di risorsa da aggiornare (organization, folder o project)
RESOURCE_ID: l'identificatore numerico dell'organizzazione, della cartella o del progetto da aggiornare. Per i progetti, puoi anche utilizzare l'ID progetto alfanumerico
NEW_STATE: ENABLED per attivare VM Threat Detection; DISABLED per disattivare VM Threat Detection; oppure INHERITED per ereditare lo stato di attivazione della risorsa principale (valido solo per progetti e cartelle)

Esegui la gcloud scc manage services update :

Linux, macOS o Cloud Shell

gcloud scc manage services update vm-threat-detection \
    --RESOURCE_TYPE=RESOURCE_ID \
    --enablement-state=NEW_STATE

Windows (PowerShell)

gcloud scc manage services update vm-threat-detection `
    --RESOURCE_TYPE=RESOURCE_ID `
    --enablement-state=NEW_STATE

Windows (cmd.exe)

gcloud scc manage services update vm-threat-detection ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --enablement-state=NEW_STATE

Dovresti ricevere una risposta simile alla seguente:

effectiveEnablementState: ENABLED
modules:
  CRYPTOMINING_HASH:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CRYPTOMINING_YARA:
    effectiveEnablementState: ENABLED
  KERNEL_INTEGRITY_TAMPERING:
    effectiveEnablementState: ENABLED
  KERNEL_MEMORY_TAMPERING:
    effectiveEnablementState: ENABLED
  MALWARE_DISK_SCAN_YARA:
    effectiveEnablementState: ENABLED
name: projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection
updateTime: '2024-08-05T22:32:01.536452397Z'

REST

L'API Security Center Management RESOURCE_TYPE.locations.securityCenterServices.patch aggiorna lo stato di un servizio o di un modulo di Security Command Center.

Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:

RESOURCE_TYPE: tipo di risorsa da aggiornare (organizations, folders o projects)
QUOTA_PROJECT: l'ID progetto da utilizzare per la fatturazione e il monitoraggio della quota
RESOURCE_ID: l'identificatore numerico dell'organizzazione, della cartella o del progetto da aggiornare. Per i progetti, puoi anche utilizzare l'ID progetto alfanumerico
NEW_STATE: ENABLED per abilitare VM Threat Detection; DISABLED per disabilitare VM Threat Detection; o INHERITED per ereditare stato di abilitazione della risorsa padre (valido solo per progetti e cartelle)

Metodo HTTP e URL:

PATCH https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/vm-threat-detection?updateMask=intendedEnablementState

Corpo JSON della richiesta:

{
  "intendedEnablementState": "NEW_STATE"
}

Per inviare la richiesta, espandi una di queste opzioni:

curl (Linux, macOS o Cloud Shell)

Nota: il seguente comando presuppone che tu abbia eseguito l'accesso all'interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login oppure utilizzando Cloud Shell, che ti consente di accedere automaticamente all'interfaccia a riga di comando gcloud. Puoi controllare l'account attualmente attivo eseguendo gcloud auth list

Salva il corpo della richiesta in un file denominato request.json, quindi esegui il comando seguente:

curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: QUOTA_PROJECT" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/vm-threat-detection?updateMask=intendedEnablementState"

PowerShell (Windows)

Salva il corpo della richiesta in un file denominato request.json. ed esegui questo comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "QUOTA_PROJECT" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/vm-threat-detection?updateMask=intendedEnablementState" | Select-Object -Expand Content

Dovresti ricevere una risposta JSON simile alla seguente:

{
  "name": "projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "CRYPTOMINING_YARA": {
      "effectiveEnablementState": "ENABLED"
    },
    "KERNEL_MEMORY_TAMPERING": {
      "effectiveEnablementState": "ENABLED"
    },
    "KERNEL_INTEGRITY_TAMPERING": {
      "effectiveEnablementState": "ENABLED"
    },
    "CRYPTOMINING_HASH": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "MALWARE_DISK_SCAN_YARA": {
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2024-08-05T22:32:01.536452397Z"
}

Attivare o disattivare un modulo di rilevamento delle minacce per le VM

Per attivare o disattivare un singolo rilevatore VM Threat Detection, noto anche come modulo, procedi nel seguente modo. L'applicazione delle modifiche potrebbe richiedere fino a un'ora.

Per informazioni su tutti i risultati relativi alle minacce di Virtual Machine Threat Detection e sui moduli che li generano, consulta Risultati relativi alle minacce.

Console

La console Google Cloud consente di abilitare o disabilitare VM Threat Detection moduli a livello di organizzazione. Per abilitare o disabilitare VM Threat Detection moduli a livello di cartella o progetto, utilizza gcloud CLI l'API REST.

Nella console Google Cloud, vai a Virtual Machine Threat Detection Moduli.

Vai a Moduli
Nella colonna Stato, seleziona lo stato corrente del modulo che vuoi attivare o disattivare e poi seleziona una delle seguenti opzioni:
- Attiva: attiva il modulo.
- Disabilita: disattiva il modulo.

gcloud

La gcloud scc manage services update questo comando aggiorna lo stato di un servizio o di un modulo di Security Command Center.

Prima di utilizzare uno qualsiasi dei dati di comando riportati di seguito, effettua le seguenti sostituzioni:

RESOURCE_TYPE: tipo di risorsa da aggiornare (organization, folder o project)
RESOURCE_ID: l'identificatore numerico dell'organizzazione, della cartella o del progetto da aggiornare. Per i progetti, puoi anche utilizzare l'ID progetto alfanumerico
MODULE_NAME: il nome del modulo da attivare o disattivare. Per i valori validi, consulta Risultati relativi alle minacce
NEW_STATE: ENABLED per abilitare il modulo; DISABLED per disattivare il modulo; o INHERITED per ereditare l'abilitazione stato della risorsa padre (valido solo per progetti e cartelle)

Salva i seguenti contenuti in un file denominato request.json:

{
  "MODULE_NAME": {
    "intendedEnablementState": "NEW_STATE"
  }
}

Esegui il comando gcloud scc manage services update :

Linux, macOS o Cloud Shell

gcloud scc manage services update vm-threat-detection \
    --RESOURCE_TYPE=RESOURCE_ID \
    --enablement-state=ENABLED \  
    --module-config-file=request.json

Windows (PowerShell)

gcloud scc manage services update vm-threat-detection `
    --RESOURCE_TYPE=RESOURCE_ID `
    --enablement-state=ENABLED \  
    --module-config-file=request.json

Windows (cmd.exe)

gcloud scc manage services update vm-threat-detection ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --enablement-state=ENABLED \  
    --module-config-file=request.json

Dovresti ricevere una risposta simile alla seguente:

effectiveEnablementState: ENABLED
modules:
  CRYPTOMINING_HASH:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CRYPTOMINING_YARA:
    effectiveEnablementState: ENABLED
  KERNEL_INTEGRITY_TAMPERING:
    effectiveEnablementState: ENABLED
  KERNEL_MEMORY_TAMPERING:
    effectiveEnablementState: ENABLED
  MALWARE_DISK_SCAN_YARA:
    effectiveEnablementState: ENABLED
name: projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection
updateTime: '2024-08-05T22:32:01.536452397Z'

REST

L'API Security Center Management RESOURCE_TYPE.locations.securityCenterServices.patch aggiorna lo stato di un servizio o di un modulo di Security Command Center.

Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:

RESOURCE_TYPE: tipo di risorsa da aggiornare (organizations, folders o projects)
QUOTA_PROJECT: l'ID progetto da utilizzare per la fatturazione e il monitoraggio della quota
RESOURCE_ID: l'identificatore numerico dell'organizzazione, della cartella o progetto da aggiornare; per i progetti, puoi anche utilizzare l'ID progetto alfanumerico
MODULE_NAME: il nome del modulo da abilitare o disabilitare; per i valori, consulta Risultati delle minacce
NEW_STATE: ENABLED per abilitare il modulo; DISABLED per disattivare il modulo; o INHERITED per ereditare l'abilitazione stato della risorsa padre (valido solo per progetti e cartelle)

Metodo HTTP e URL:

PATCH https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/vm-threat-detection?updateMask=modules

Corpo JSON della richiesta:

{
  "modules": {
    "MODULE_NAME": {
      "intendedEnablementState": "NEW_STATE"
    }
  }
}

Per inviare la richiesta, espandi una di queste opzioni:

curl (Linux, macOS o Cloud Shell)

Salva il corpo della richiesta in un file denominato request.json, quindi esegui il comando seguente:

curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: QUOTA_PROJECT" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/vm-threat-detection?updateMask=modules"

PowerShell (Windows)

Salva il corpo della richiesta in un file denominato request.json. ed esegui questo comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "QUOTA_PROJECT" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/vm-threat-detection?updateMask=modules" | Select-Object -Expand Content

Dovresti ricevere una risposta JSON simile alla seguente:

{
  "name": "projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "CRYPTOMINING_YARA": {
      "effectiveEnablementState": "ENABLED"
    },
    "KERNEL_MEMORY_TAMPERING": {
      "effectiveEnablementState": "ENABLED"
    },
    "KERNEL_INTEGRITY_TAMPERING": {
      "effectiveEnablementState": "ENABLED"
    },
    "CRYPTOMINING_HASH": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "MALWARE_DISK_SCAN_YARA": {
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2024-08-05T22:32:01.536452397Z"
}

Visualizza le impostazioni dei moduli VM Threat Detection

Per informazioni su tutte le minacce rilevate da VM Threat Detection e sui moduli che le generano, consulta la tabella Minacce rilevate.

Console

La console Google Cloud ti consente di visualizzare le impostazioni per i moduli di rilevamento delle minacce VM a livello di organizzazione. Per visualizzare le impostazioni per VM Threat Detection moduli a livello di cartella o progetto, utilizza gcloud CLI l'API REST.

Per visualizzare le impostazioni nella console Google Cloud, vai alla macchina virtuale alla pagina Moduli di rilevamento delle minacce.

Vai a Moduli

gcloud

Il comando gcloud scc manage services update recupera lo stato di un servizio o modulo di Security Command Center.

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

RESOURCE_TYPE: il tipo di risorsa da recuperare (organizations, folders o projects)
QUOTA_PROJECT: l'ID progetto da utilizzare per il monitoraggio della fatturazione e delle quote
RESOURCE_ID: l'identificatore numerico dell'organizzazione, della cartella o del progetto da recuperare. Per i progetti, puoi anche utilizzare l'ID progetto alfanumerico

Salva i seguenti contenuti in un file denominato request.json:

{
  "MODULE_NAME": {
    "intendedEnablementState": "NEW_STATE"
  }
}

Esegui il comando gcloud scc manage services update :

Linux, macOS o Cloud Shell

gcloud scc manage services update vm-threat-detection \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud scc manage services update vm-threat-detection `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud scc manage services update vm-threat-detection ^
    --RESOURCE_TYPE=RESOURCE_ID

Dovresti ricevere una risposta simile alla seguente:

effectiveEnablementState: ENABLED
modules:
  CRYPTOMINING_HASH:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CRYPTOMINING_YARA:
    effectiveEnablementState: ENABLED
  KERNEL_INTEGRITY_TAMPERING:
    effectiveEnablementState: ENABLED
  KERNEL_MEMORY_TAMPERING:
    effectiveEnablementState: ENABLED
  MALWARE_DISK_SCAN_YARA:
    effectiveEnablementState: ENABLED
name: projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection
updateTime: '2024-08-05T22:32:01.536452397Z'

REST

Il metodo RESOURCE_TYPE.locations.securityCenterServices.get dell'API Security Command Center Management recupera lo stato di un servizio o modulo di Security Command Center.

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

RESOURCE_TYPE: il tipo di risorsa da recuperare (organizations, folders o projects)
QUOTA_PROJECT: l'ID progetto da utilizzare per il monitoraggio della fatturazione e delle quote
RESOURCE_ID: l'identificatore numerico dell'organizzazione, della cartella o un progetto per ottenere; per i progetti, puoi anche utilizzare l'ID progetto alfanumerico

Metodo HTTP e URL:

GET https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/vm-threat-detection

Per inviare la richiesta, espandi una di queste opzioni:

curl (Linux, macOS o Cloud Shell)

Nota: Il comando seguente presuppone che tu abbia eseguito l'accesso a l'interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login oppure utilizzando Cloud Shell, che ti consente di accedere automaticamente all'interfaccia a riga di comando gcloud di Google. Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Esegui questo comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: QUOTA_PROJECT" \
     "https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/vm-threat-detection"

PowerShell (Windows)

Nota: il comando seguente presuppone che tu abbia eseguito l'accesso alla CLI gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login . Puoi controllare l'account attualmente attivo eseguendo gcloud auth list

Esegui questo comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "QUOTA_PROJECT" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/vm-threat-detection" | Select-Object -Expand Content

Dovresti ricevere una risposta JSON simile alla seguente:

{
  "name": "projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "CRYPTOMINING_YARA": {
      "effectiveEnablementState": "ENABLED"
    },
    "KERNEL_MEMORY_TAMPERING": {
      "effectiveEnablementState": "ENABLED"
    },
    "KERNEL_INTEGRITY_TAMPERING": {
      "effectiveEnablementState": "ENABLED"
    },
    "CRYPTOMINING_HASH": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "MALWARE_DISK_SCAN_YARA": {
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2024-08-05T22:32:01.536452397Z"
}

Nomi di software e regole YARA per il rilevamento del mining di criptovalute

I seguenti elenchi includono i nomi dei file binari e delle regole YARA che attivano risultati relativi al mining di criptovaluta. Per visualizzare gli elenchi, espandi i nodi.

`Execution: Cryptocurrency Mining Hash Match`

Arionum CPU miner: software di mining per la criptovaluta Arionum
Avermore: software di mining per criptovalute basate su Scrypt
Beam CUDA miner: software di mining per criptovalute basate su Equihash
Miner OpenCL Beam: software di mining per basato su Equihash criptovalute
BFGMiner: software di mining basato su ASIC/FPGA per Bitcoin
BMiner: software di mining per varie criptovalute
Cast XMR: software di mining per In base a CryptoNight criptovalute
ccminer: software di mining basato su CUDA
cgminer: software di mining basato su ASIC/FPGA per Bitcoin
Claymore's miner: software di mining basato su GPU per varie criptovalute
CPUMiner: famiglia di software di mining basati su CPU
CryptoDredge: famiglia di software di mining per CryptoDredge
CryptoGoblin: software di mining per In base a CryptoNight criptovalute
DamoMiner: software di mining basato su GPU per Ethereum e altre criptovalute
DigitsMiner: software di mining per Digits
EasyMiner: software di mining per Bitcoin e altre criptovalute
Ethminer: software per l'estrazione di Ethereum e altre criptovalute
EWBF: software di mining per criptovalute basate su Equihash.
FinMiner: software di mining per Ethash e In base a CryptoNight criptovalute
Funakoshi Miner: software di mining per Criptovalute Bitcoin-Gold
Geth: software di mining per Ethereum
GMiner: software di mining per varie criptovalute
gominer: software di mining per Dichiarato
GrinGoldMiner: software di mining per Grin
Hush: software di mining per criptovalute basate su Zcash
IxiMiner: software di mining per Xian
kawpowminer: software di mining per Ravencoin
Komodo: famiglia di software di mining per Komodo
lolMiner: software di mining per varie criptovalute
lukMiner: software di mining per varie criptovalute
MinerGate: software di mining per varie criptovalute
miniZ: software di mining per criptovalute basate su Equihash
Mirai: malware che può essere utilizzato per minare criptovalute
MultiMiner: software di mining per varie criptovalute
nanominer: software di mining per varie criptovalute
NBMiner: software di mining per varie criptovalute
Nevermore: software di mining per varie criptovalute
nheqminer: software di mining per NiceHash
NinjaRig: software di mining per criptovalute basate su Argon2.
NodeCore PoW CUDA Miner: software di mining per VeriBlock
NoncerPro: software di mining per Nimiq
Optiminer/Equihash: software di mining per sistemi basati su Equihash criptovalute
PascalCoin: famiglia di software di mining per PascalCoin
PhoenixMiner: software per il mining di Ethereum
Pooler CPU Miner: software di mining per Litecoin e Bitcoin
ProgPoW Miner: software di mining per Ethereum e altri criptovalute
rhminer: software per il mining di PascalCoin
sgminer: software di mining per criptovalute basate su Scrypt
simplecoin: famiglia di software di mining per basati su scrypt SimpleCoin
Skypool Nimiq Miner: software per il mining di Nimiq
SwapReferenceMiner: software di mining per Grande
Team Red Miner: software di mining basato su AMD per vari criptovalute
T-Rex: software di mining per varie criptovalute
TT-Miner: software di mining per varie criptovalute
Ubqminer: software di mining per criptovalute basate su Ubqhash.
VersusCoin: software per il mining di VersusCoin
violetminer: software di mining per criptovalute basate su Argon2
webchain-miner: software per il mining per MintMe
WildRig: software di mining per varie criptovalute
XCASH_ALL_Miner: software per l'estrazione di XCASH
xFash: software di mining per MinerGate
XLArig: software di mining per In base a CryptoNight criptovalute
XMRig: software di mining per varie criptovalute
Xmr-Stak: software di mining per In base a CryptoNight criptovalute
XMR-Stak TurtleCoin: software di mining per In base a CryptoNight criptovalute
Xtl-Stak: software di mining per criptovalute basate su CryptoNight
Yam Miner: software di mining per MinerGate
YCash: software di mining per YCash
ZCoin: software per il mining di ZCoin/Fire
Zealot/Enemy: software di mining per varie criptovalute
Indicatore del miner di criptovalute¹

¹ Questo nome generico della minaccia indica che un minatore di criptovalute sconosciuto potrebbe essere in funzione nella VM, ma Virtual Machine Threat Detection non dispone di informazioni specifiche sul minatore.

`Execution: Cryptocurrency Mining YARA Rule`

YARA_RULE1: corrisponde al software di mining per Monero
YARA_RULE9: corrisponde al software di mining che utilizza Blake2 e crittografia AES
YARA_RULE10: corrisponde al software di mining che utilizza la routine di prova del lavoro CryptoNight.
YARA_RULE15: corrisponde al software di mining per NBMiner
YARA_RULE17: corrisponde al software di mining che utilizza la routine di prova del lavoro Scrypt
YARA_RULE18: corrisponde al software di mining che utilizza la routine di prova del lavoro Scrypt
YARA_RULE19: corrisponde al software di mining per BFGMiner
YARA_RULE24: corrisponde al software di mining per XMR-Stak
YARA_RULE25: corrisponde al software di mining per XMRig
DYNAMIC_YARA_RULE_BFGMINER_2: corrisponde al software di mining per BFGMiner

Passaggi successivi

Scopri di più su VM Threat Detection.
Scopri come esaminare i risultati di VM Threat Detection.

Utilizzo di Virtual Machine Threat Detection

Panoramica

Costi

Prima di iniziare

Testa il rilevamento delle minacce per VM

Esamina i risultati nella console Google Cloud

Gravità

Rilevamenti combinati

Esempi di formati dei risultati

Defense Evasion: Rootkit (Anteprima)

Defense Evasion: Unexpected ftrace handler (Anteprima)

Defense Evasion: Unexpected interrupt handler (Anteprima)

Defense Evasion: Unexpected kernel code modification (Anteprima)

Defense Evasion: Unexpected kernel modules (Anteprima)

Defense Evasion: Unexpected kernel read-only data modification (Anteprima)

Defense Evasion: Unexpected kprobe handler (Anteprima)

Defense Evasion: Unexpected processes in runqueue (Anteprima)

Defense Evasion: Unexpected system call handler (Anteprima)

Execution: Cryptocurrency Mining Combined Detection

Execution: Cryptocurrency Mining Hash Match Detection

Execution: Cryptocurrency Mining YARA Rule

Malware: Malicious file on disk (YARA)

Modifica lo stato dei risultati

Attivare o disattivare VM Threat Detection

Console

gcloud

Linux, macOS o Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

Attivare o disattivare un modulo di rilevamento delle minacce per le VM

Console

gcloud

Linux, macOS o Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

Visualizza le impostazioni dei moduli VM Threat Detection

Console

gcloud

Linux, macOS o Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

Nomi di software e regole YARA per il rilevamento del mining di criptovalute

Execution: Cryptocurrency Mining Hash Match

Execution: Cryptocurrency Mining YARA Rule

Passaggi successivi

`Defense Evasion: Rootkit` (Anteprima)

`Defense Evasion: Unexpected ftrace handler` (Anteprima)

`Defense Evasion: Unexpected interrupt handler` (Anteprima)

`Defense Evasion: Unexpected kernel code modification` (Anteprima)

`Defense Evasion: Unexpected kernel modules` (Anteprima)

`Defense Evasion: Unexpected kernel read-only data modification` (Anteprima)

`Defense Evasion: Unexpected kprobe handler` (Anteprima)

`Defense Evasion: Unexpected processes in runqueue` (Anteprima)

`Defense Evasion: Unexpected system call handler` (Anteprima)

`Execution: Cryptocurrency Mining Combined Detection`

`Execution: Cryptocurrency Mining Hash Match Detection`

`Execution: Cryptocurrency Mining YARA Rule`

`Malware: Malicious file on disk (YARA)`

`Execution: Cryptocurrency Mining Hash Match`

`Execution: Cryptocurrency Mining YARA Rule`