このページでは、VM Threat Detection の検出結果を表示して管理する方法について説明します。また、サービスとそのモジュールを有効または無効にする方法についても説明します。
概要
Virtual Machine Threat Detection は、Security Command Center Premium の組み込みサービスで、ハイパーバイザ レベルのインストゥルメンテーションと永続ディスク分析を使用して脅威を検出します。VM Threat Detection は、侵害されたクラウド環境で実行されている、悪質な可能性のあるアプリケーション(暗号通貨マイニング ソフトウェアやカーネルモード ルートキット、マルウェアなど)を検出します。
VM Threat Detection は、Security Command Center Premium の脅威検出スイートの一部であり、Event Threat Detection と Container Threat Detection の既存の機能を補完するように設計されています。
詳細については、VM Threat Detection の概要をご覧ください。
費用
Security Command Center Premium に登録した後、VM Threat Detection を使用するための追加費用はかかりません。
始める前に
この機能を使用するには、Security Command Center Premium に登録している必要があります。
検出結果を表示または編集したり、Google Cloud リソースを変更するには、適切な Identity and Access Management(IAM)ロールが必要です。Security Command Center でアクセスエラーが発生した場合は、管理者にお問い合わせください。ロールの詳細については、アクセス制御をご覧ください。
VM Threat Detection をテストする
VM Threat Detection の暗号通貨マイニングの検出をテストするには、VM で暗号通貨マイニング アプリケーションを実行します。検出結果をトリガーするバイナリ名と YARA ルールのリストについては、ソフトウェア名と YARA ルールをご覧ください。マイニング アプリケーションをインストールしてテストする場合は、隔離されたテスト環境でのみアプリケーションを実行し、アプリケーションの使用状況を注意深くモニタリングしてください。また、テスト後にアプリケーションを完全に削除することをおすすめします。
VM Threat Detection のマルウェア検出をテストするには、VM にマルウェア アプリケーションをダウンロードします。マルウェアをダウンロードする場合は、隔離されたテスト環境でダウンロードし、テスト後に完全に削除することをおすすめします。
Google Cloud コンソールで検出結果を確認する
Google Cloud コンソールで VM Threat Detection の検出結果を確認するには、次の操作を行います。
Google Cloud コンソールで Security Command Center の [検出結果] ページに移動します。
必要に応じて、Google Cloud プロジェクトまたは組織を選択します。
[クイック フィルタ] セクションの [ソースの表示名] サブセクションで、[Virtual Machine Threat Detection] を選択します。
[Virtual Machine Threat Detection] が表示されない場合は、[さらに表示] をクリックします。ダイアログで、Virtual Machine Threat Detection を検索します。
特定の検出の詳細を表示するには、[カテゴリ] の下にある検出結果の名前をクリックします。検出結果の詳細パネルが開き、[概要] タブが表示されます。
[概要] タブで、検出されたバイナリに関する情報や、影響を受けるリソースなど、検出結果に関する情報を確認します。
詳細パネルで [JSON] タブをクリックして、検出結果の完全な JSON を表示します。
VM Threat Detection の各検出結果への対応方法については、VM Threat Detection レスポンスをご覧ください。
VM Threat Detection の検出結果の一覧については、検出結果をご覧ください。
重大度
VM Threat Detection の検出結果には、脅威の分類の信頼度に基づいて、高、中、低の重大度が割り当てられます。
複合検出
複合検出は、1 日に複数のカテゴリの結果が検出されたときに発生します。検出結果は 1 つ以上の悪意のあるアプリケーションに起因している可能性があります。たとえば、1 つのアプリケーションで Execution: Cryptocurrency Mining YARA Rule と Execution: Cryptocurrency
Mining Hash Match の検出結果を同時にトリガーする場合があります。同じ日に 1 つのソースから検出された脅威は、1 つの複合検出の検出結果にまとめられます。同じ脅威であっても、その後さらに脅威が見つかると、新しい検出結果に関連付けられます。
複合検出の例については、検出結果の形式の例をご覧ください。
検出結果のフォーマット例
これらの JSON 出力の例には、VM Threat Detection の検出結果に共通するフィールドが含まれています。各例には、検出結果のタイプに関連するフィールドのみを示します。フィールドの包括的なリストは提供されません。
Security Command Center ダッシュボードから検出結果をエクスポートしたり、Security Command Center API を使用して検出結果を一覧表示できます。
検出結果の例を表示するには、次のノードを 1 つ以上開きます。検出結果の各フィールドの詳細については、Finding をご覧ください。
レビュー中に VM Threat Detection が使用するフィールド値(YARA ルール名など)は、機能の一般提供が開始されるときに変更される可能性があります。
Defense Evasion: Rootkitプレビュー
この出力例は、既知のカーネルモード ルートキットである Diamorphine の検出を示しています。
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Rootkit",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {
"name": "Diamorphine",
"unexpected_kernel_code_pages": true,
"unexpected_system_call_handler": true
},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "HIGH",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Defense Evasion: Unexpected ftrace handlerプレビュー
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Unexpected ftrace handler",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "MEDIUM",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Defense Evasion: Unexpected interrupt handlerプレビュー
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Unexpected interrupt handler",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "MEDIUM",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Defense Evasion: Unexpected kernel code modificationプレビュー
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Unexpected kernel code modification",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "MEDIUM",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Defense Evasion: Unexpected kernel modulesプレビュー
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Unexpected kernel modules",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "MEDIUM",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Defense Evasion: Unexpected kernel read-only data modificationプレビュー
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Unexpected kernel read-only data modification",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "MEDIUM",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Defense Evasion: Unexpected kprobe handlerプレビュー
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Unexpected kprobe handler",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "MEDIUM",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Defense Evasion: Unexpected processes in runqueueプレビュー
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Unexpected processes in runqueue",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "MEDIUM",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Defense Evasion: Unexpected system call handlerプレビュー
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Unexpected system call handler",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "MEDIUM",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Execution: Cryptocurrency Mining Combined
Detection
この出力例は、CRYPTOMINING_HASH モジュールと CRYPTOMINING_YARA モジュールの両方で検出された脅威を示しています。
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Execution: Cryptocurrency Mining Combined Detection",
"createTime": "2023-01-05T01:40:48.994Z",
"database": {},
"eventTime": "2023-01-05T01:39:36.876Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {
"signatures": [
{
"yaraRuleSignature": {
"yaraRule": "YARA_RULE1"
}
},
{
"yaraRuleSignature": {
"yaraRule": "YARA_RULE9"
}
},
{
"yaraRuleSignature": {
"yaraRule": "YARA_RULE10"
}
},
{
"yaraRuleSignature": {
"yaraRule": "YARA_RULE25"
}
},
{
"memoryHashSignature": {
"binaryFamily": "XMRig",
"detections": [
{
"binary": "linux-x86-64_xmrig_6.12.2",
"percentPagesMatched": 1
}
]
}
}
]
},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [
{
"binary": {
"path": "BINARY_PATH"
},
"script": {},
"args": [
"./miner",
""
],
"pid": "123",
"parentPid": "456",
"name": "miner"
}
],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "HIGH",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"project_display_name": "DISPLAY_NAME",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Execution: Cryptocurrency Mining Hash Match
Detection
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Execution: Cryptocurrency Mining Hash Match",
"createTime": "2023-01-05T01:40:48.994Z",
"database": {},
"eventTime": "2023-01-05T01:39:36.876Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {
"signatures": [
{
"memoryHashSignature": {
"binaryFamily": "XMRig",
"detections": [
{
"binary": "linux-x86-64_xmrig_6.12.2",
"percentPagesMatched": 1
}
]
}
}
]
},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [
{
"binary": {
"path": "BINARY_PATH"
},
"script": {},
"args": [
"./miner",
""
],
"pid": "123",
"parentPid": "456",
"name": "miner"
}
],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "HIGH",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"project_display_name": "DISPLAY_NAME",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Execution: Cryptocurrency Mining YARA Rule
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Execution: Cryptocurrency Mining YARA Rule",
"createTime": "2023-01-05T00:37:38.450Z",
"database": {},
"eventTime": "2023-01-05T01:12:48.828Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {
"signatures": [
{
"yaraRuleSignature": {
"yaraRule": "YARA_RULE9"
}
},
{
"yaraRuleSignature": {
"yaraRule": "YARA_RULE10"
}
},
{
"yaraRuleSignature": {
"yaraRule": "YARA_RULE25"
}
}
]
},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [
{
"binary": {
"path": "BINARY_PATH"
},
"script": {},
"args": [
"./miner",
""
],
"pid": "123",
"parentPid": "456",
"name": "miner"
}
],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "HIGH",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"project_display_name": "DISPLAY_NAME",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Malware: Malicious file on disk (YARA)プレビュー
{
"findings": {
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Malware: Malicious file on disk (YARA)",
"createTime": "2023-01-05T00:37:38.450Z",
"eventTime": "2023-01-05T01:12:48.828Z",
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {
"signatures": [
{
"yaraRuleSignature": {
"yaraRule": "M_Backdoor_REDSONJA_1"
},
"signatureType": "SIGNATURE_TYPE_FILE",
},
{
"yaraRuleSignature": {
"yaraRule": "M_Backdoor_REDSONJA_2"
},
"signatureType": "SIGNATURE_TYPE_FILE",
}
]
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"files": [
{
"diskPath": {
"partition_uuid": "b411dc99-f0a0-4c87-9e05-184977be8539",
"relative_path": "RELATIVE_PATH"
},
"size": "21238",
"sha256": "65d860160bdc9b98abf72407e14ca40b609417de7939897d3b58d55787aaef69",
"hashedSize": "21238"
}
],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "HIGH",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"project_display_name": "DISPLAY_NAME",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
検出結果の状態を変更する
VM Threat Detection によって識別された脅威を解決しても、サービスの後続のスキャンで検出結果の状態は自動的に「無効」に設定されません。脅威ドメインの性質上、VM Threat Detection では、脅威が軽減されたか、検出を回避するために変更されたかどうかを判別できません。
セキュリティ チームは、脅威が軽減されたと判断したときに、次の手順で検出結果の状態を「無効」に変更できます。
Google Cloud コンソールで Security Command Center の [検出] ページに移動します。
[表示] の横にある [ソースタイプ] をクリックします。
[ソースタイプ] リストで、[Virtual Threat Detection] を選択します。テーブルに、選択したソースタイプの検出結果が表示されます。
解決された検索結果の横にあるチェックボックスをオンにします。
[アクティブ状態を変更] をクリックします。
[無効] をクリックします。
VM Threat Detection を有効または無効にする
VM Threat Detection は、このサービスの提供が開始した 2022 年 7 月 15 日以降に Security Command Center Premium に登録されたすべてのお客様に対してデフォルトで有効になっています。必要に応じて、プロジェクトまたは組織で手動で無効にするか、再度有効にできます。
組織またはプロジェクトで VM Threat Detection を有効にすると、その組織またはプロジェクト内でサポートされているすべてのリソースが自動的にスキャンされます。 逆に、組織またはプロジェクトで VM Threat Detection を無効にすると、サービスは、組織内でサポートされているすべてのリソースのスキャンを停止します。
VM Threat Detection を有効または無効にするには、次の操作を行います。
コンソール
Google Cloud コンソールの [設定] ページの [サービス] タブで、VM Threat Detection を有効または無効にできます。
詳細については、組み込みサービスを有効または無効にするをご覧ください。
cURL
PATCH リクエストを送信します。
curl -X PATCH -H "Authorization: Bearer \"$(gcloud auth print-access-token)\"" \
-H "Content-Type: application/json; charset=utf-8" \
-H "X-Goog-User-Project: X_GOOG_USER_PROJECT" \
https://securitycenter.googleapis.com/v1beta2/RESOURCE/RESOURCE_ID/virtualMachineThreatDetectionSettings \
-d '{"serviceEnablementState": "NEW_STATE"}'
次のように置き換えます。
- X_GOOG_USER_PROJECT: VM Threat Detection スキャンに関連するアクセス料金の請求先となるプロジェクト。
- RESOURCE: スキャンするリソースのタイプ(
organizationsまたはprojects)。 - RESOURCE_ID: VM Threat Detection を有効または無効にする組織またはプロジェクトの ID。
- NEW_STATE: VM Threat Detection を適用する状態(
ENABLEDまたはDISABLED)。
gcloud
次のコマンドを実行します。
gcloud alpha scc settings services ACTION --RESOURCE RESOURCE_ID \
--service VIRTUAL_MACHINE_THREAT_DETECTION
次のように置き換えます。
- ACTION: VM Threat Detection サービスに対して実行するアクション(
enableまたはdisable)。 - RESOURCE: VM Threat Detection を有効または無効にするリソースの種類(
organizationまたはproject)。 - RESOURCE_ID: VM Threat Detection を有効または無効にする組織またはプロジェクトの ID。
VM Threat Detection モジュールを有効または無効にする
個々の VM Threat Detection 検出機能(モジュール)を有効または無効にするには、次の操作を行います。変更が反映されるまでには、最長で 1 時間ほどかかることがあります。
すべての VM Threat Detection の脅威の検出結果と、それらを生成するモジュールについては、脅威の検出結果の表をご覧ください。
コンソール
モジュールを有効または無効にするをご覧ください。
cURL
組織またはプロジェクトで VM Threat Detection モジュールを有効または無効にするには、PATCH リクエストを送信します。
curl -X PATCH -H "Authorization: Bearer \"$(gcloud auth print-access-token)\"" \
-H "Content-Type: application/json; charset=utf-8" \
-H "X-Goog-User-Project: X_GOOG_USER_PROJECT" \
https://securitycenter.googleapis.com/v1beta2/RESOURCE/RESOURCE_ID/virtualMachineThreatDetectionSettings \
-d '{"modules": {"MODULE": {"module_enablement_state": "NEW_STATE"}}}'
次のように置き換えます。
- X_GOOG_USER_PROJECT: VM Threat Detection スキャンに関連するアクセス料金の請求先となるプロジェクト。
- RESOURCE: モジュールを有効または無効にするリソースのタイプ(
organizationsまたはprojects)。 - RESOURCE_ID: モジュールを有効または無効にする組織またはプロジェクトの ID。
- MODULE: 有効または無効にするモジュール(例:
CRYPTOMINING_HASH)。 - NEW_STATE: モジュールの状態(
ENABLEDまたはDISABLED)。
gcloud
組織またはプロジェクトで VM Threat Detection モジュールを有効または無効にするには、次のコマンドを実行します。
gcloud alpha scc settings services modules ACTION --RESOURCE RESOURCE_ID \
--service VIRTUAL_MACHINE_THREAT_DETECTION --module MODULE
次のように置き換えます。
- ACTION: モジュールに対して実行するアクション(
enableまたはdisable)。 - RESOURCE: モジュールを有効または無効にするリソースのタイプ(
organizationまたはproject)。 - RESOURCE_ID: モジュールを有効または無効にする組織またはプロジェクトの ID。
- MODULE: 有効または無効にするモジュール(例:
CRYPTOMINING_HASH)。
VM Threat Detection モジュールの設定を表示する
すべての VM Threat Detection の脅威の検出結果と、それらを生成するモジュールについては、脅威の検出結果の表をご覧ください。
コンソール
サービスのモジュールを表示するをご覧ください。
cURL
GET リクエストを送信します。
curl -X GET -H "Authorization: Bearer \"$(gcloud auth print-access-token)\"" \
-H "Content-Type: application/json; charset=utf-8" \
-H "X-Goog-User-Project: X_GOOG_USER_PROJECT" \
https://securitycenter.googleapis.com/v1beta2/RESOURCE/RESOURCE_ID/virtualMachineThreatDetectionSettings:calculate
次のように置き換えます。
- X_GOOG_USER_PROJECT: VM Threat Detection スキャンに関連するアクセス料金の請求先となるプロジェクト。
- RESOURCE: モジュール設定を表示するリソースのタイプ。
- RESOURCE_ID: モジュール設定を表示する組織またはプロジェクトの ID。
gcloud
単一モジュールの設定を表示するには、次のコマンドを実行します。
gcloud alpha scc settings services modules describe --RESOURCE RESOURCE_ID \
--service VIRTUAL_MACHINE_THREAT_DETECTION --module MODULE
すべてのモジュールの設定を表示するには、次のコマンドを実行します。
gcloud alpha scc settings services describe --RESOURCE RESOURCE_ID \
--service VIRTUAL_MACHINE_THREAT_DETECTION
次のように置き換えます。
- RESOURCE: モジュールの設定を表示するリソースのタイプ(
organizationまたはproject)。 - RESOURCE_ID: モジュール設定を表示する組織またはプロジェクトの ID。
- MODULE: 表示するモジュール(例:
CRYPTOMINING_HASH)。
暗号通貨マイニングの検出のためのソフトウェア名と YARA ルール
次のリストには、暗号通貨マイニングの検出結果をトリガーするバイナリの名前と YARA ルールの名前が含まれています。リストを表示するには、ノードを展開してください。
Execution: Cryptocurrency Mining Hash Match
- Arionum CPU miner: Arionum 暗号通貨のマイニング ソフトウェア
- Avermore: Scrypt ベースの暗号通貨のマイニング ソフトウェア
- Beam CUDA miner: Equihash ベースの暗号通貨のマイニング ソフトウェア
- Beam OpenCL miner: Equihash ベースの暗号通貨のマイニング ソフトウェア
- BFGMiner: Bitcoin の ASIC/FPGA ベースのマイニング ソフトウェア
- BMiner: さまざまな暗号通貨のマイニング ソフトウェア
- Cast XMR: CryptoNight ベースの暗号通貨のマイニング ソフトウェア
- ccminer: CUDA ベースのマイニング ソフトウェア
- cgminer: ビットコインの ASIC/FPGA ベースのマイニング ソフトウェア
- Claymore's miner: さまざまな暗号通貨の GPU ベースのマイニング ソフトウェア
- CPUMiner: CPU ベースのマイニング ソフトウェア ファミリー
- CryptoDredge: CryptoDredge のマイニング ソフトウェア ファミリー
- CryptoGoblin: CryptoNight ベースの暗号通貨のマイニング ソフトウェア
- DamoMiner: Ethereum とその他の暗号通貨の GPU ベースのマイニング ソフトウェア
- DigitsMiner: Digits のマイニング ソフトウェア
- EasyMiner: ビットコインなどの暗号通貨のマイニング ソフトウェア
- Ethminer: Ethereum などの暗号通貨のマイニング ソフトウェア
- EWBF: Equihash ベースの暗号通貨のマイニング ソフトウェア
- FinMiner: Ethash と CryptoNight ベースの暗号通貨のマイニング ソフトウェア
- Funakoshi Miner: Bitcoin-Gold 暗号通貨のマイニング ソフトウェア
- Geth: Ethereum のマイニング ソフトウェア
- GMiner: 各種の暗号通貨のマイニング ソフトウェア
- gominer: Decred のマイニング ソフトウェア
- GrinGoldMiner: Grin のマイニング ソフトウェア
- Hush: Zcash ベースの暗号通貨のマイニング ソフトウェア
- IxiMiner: Ixian のマイニング ソフトウェア
- kawpowminer: Ravencoin のマイニング ソフトウェア
- Komodo: Komodo のマイニング ソフトウェア ファミリー
- lolMiner: さまざまな暗号通貨のマイニング ソフトウェア
- lukMiner: さまざまな暗号通貨のマイニング ソフトウェア
- MinerGate: さまざまな暗号通貨のマイニング ソフトウェア
- miniZ: Equihash ベースの暗号通貨のマイニング ソフトウェア
- Mirai: 暗号通貨のマイニングに使用できるマルウェア
- MultiMiner: さまざまな暗号通貨のマイニング ソフトウェア
- nanominer: さまざまな暗号通貨のマイニング ソフトウェア
- NBMiner: さまざまな暗号通貨のマイニング ソフトウェア
- Nevermore: さまざまな暗号通貨マイニング ソフトウェア
- nheqminer: NiceHash のマイニング ソフトウェア
- NinjaRig: Argon2 ベースの暗号通貨のマイニング ソフトウェア
- NodeCore PoW CUDA Miner: VeriBlock のマイニング ソフトウェア
- NoncerPro: Nimiq のマイニング ソフトウェア
- Optiminer/Equihash: Equihash ベースの暗号通貨のマイニング ソフトウェア
- PascalCoin: PascalCoin のマイニング ソフトウェア ファミリー
- PhoenixMiner: Ethereum のマイニング ソフトウェア
- Pooler CPU Miner: Litecoin と Bitcoin のマイニング ソフトウェア
- ProgPoW Miner: Ethereum などの暗号通貨のマイニング ソフトウェア
- rhminer: PascalCoin のマイニング ソフトウェア
- sgminer: Scrypt ベースの暗号通貨のマイニング ソフトウェア
- simplecoin: Scrypt ベースの SimpleCoin のマイニング ソフトウェア ファミリー
- Skypool Nimiq Miner: Nimiq のマイニング ソフトウェア
- SwapReferenceMiner: Grin のマイニング ソフトウェア
- Team Red Miner: さまざまな暗号通貨の AMD ベースのマイニング ソフトウェア
- T-Rex: さまざまな暗号通貨のマイニング ソフトウェア
- TT-Miner: さまざまな暗号通貨のマイニング ソフトウェア
- Ubqminer: Ubqhash ベースの暗号通貨のマイニング ソフトウェア
- VersusCoin: VersusCoin のマイニング ソフトウェア
- violetminer: Argon2 ベースの暗号通貨のマイニング ソフトウェア
- webchain-miner: MintMe のマイニング ソフトウェア
- WildRig: さまざまな暗号通貨のマイニング ソフトウェア
- XCASH_ALL_Miner: XCASH のマイニング ソフトウェア
- xFash: MinerGate のマイニング ソフトウェア
- XLArig: CryptoNight ベースの暗号通貨のマイニング ソフトウェア
- XMRig: さまざまな暗号通貨のマイニング ソフトウェア
- Xmr-Stak: CryptoNight ベースの暗号通貨のマイニング ソフトウェア
- XMR-Stak TurtleCoin: CryptoNight ベースの暗号通貨のマイニング ソフトウェア
- Xtl-Stak: CryptoNight ベースの暗号通貨のマイニング ソフトウェア
- Yam Miner: MinerGate のマイニング ソフトウェア
- YCash: YCash のマイニング ソフトウェア
- ZCoin: ZCoin/Fire のマイニング ソフトウェア
- Zealot/Enemy: さまざまな暗号通貨のマイニング ソフトウェア
- Cryptocurrency miner signal1
1 この一般的な脅威名は、不明な暗号通貨マイナーが VM で稼働している可能性があるものの、VM Threat Detection にマイナーに関する特定の情報がないことを示しています。
Execution: Cryptocurrency Mining YARA Rule
- YARA_RULE1: Monero のマイニング ソフトウェアを照合
- YARA_RULE9: Blake2 と AES 暗号を使用するマイニング ソフトウェアを照合
- YARA_RULE10: CryptoNight のプルーフオブワーク ルーチンを使用するマイニング ソフトウェアを照合
- YARA_RULE15: NBMiner のマイニング ソフトウェアを照合
- YARA_RULE17: Scrypt のプルーフオブワーク ルーチンを使用するマイニング ソフトウェアを照合
- YARA_RULE18: Scrypt のプルーフオブワーク ルーチンを使用するマイニング ソフトウェアを照合
- YARA_RULE19: BFGMiner のマイニング ソフトウェアを照合
- YARA_RULE24: XMR-Stak のマイニング ソフトウェアを照合
- YARA_RULE25: XMRig のマイニング ソフトウェアを照合
- DYNAMIC_YARA_RULE_BFGMINER_2: BFGMiner のマイニング ソフトウェアを照合
次のステップ
- VM Threat Detection について詳細を確認する。
- VM Threat Detection の検出結果の調査方法を確認する。