このページでは、VM Threat Detection の検出結果を表示して管理する方法について説明します。また、サービスとそのモジュールを有効または無効にする方法についても説明します。
概要
Virtual Machine Threat Detection は、エンタープライズ ティアとプレミアム ティアで利用できる Security Command Center の組み込みサービスです。このサービスは、Compute Engine インスタンスをスキャンして、侵害されたクラウド環境で実行されている、悪質な可能性のあるアプリケーション(暗号通貨マイニング ソフトウェア、カーネルモード ルートキット、マルウェアなど)を検出します。
VM Threat Detection は、Security Command Center の脅威検出スイートの一部であり、Event Threat Detection と Container Threat Detection の既存の機能を補完するように設計されています。
詳細については、VM Threat Detection の概要をご覧ください。
費用
Security Command Center Premium に登録した後、VM Threat Detection を使用するための追加費用はかかりません。
始める前に
この機能を使用するには、Security Command Center Premium に登録している必要があります。
検出結果を表示または編集したり、Google Cloud リソースを変更するには、適切な Identity and Access Management(IAM)ロールが必要です。Security Command Center でアクセスエラーが発生した場合は、管理者にお問い合わせください。ロールの詳細については、アクセス制御をご覧ください。
VM Threat Detection をテストする
VM Threat Detection の暗号通貨マイニングの検出をテストするには、VM で暗号通貨マイニング アプリケーションを実行します。検出結果をトリガーするバイナリ名と YARA ルールのリストについては、ソフトウェア名と YARA ルールをご覧ください。マイニング アプリケーションをインストールしてテストする場合は、隔離されたテスト環境でのみアプリケーションを実行し、アプリケーションの使用状況を注意深くモニタリングしてください。また、テスト後にアプリケーションを完全に削除することをおすすめします。
VM Threat Detection のマルウェア検出をテストするには、VM にマルウェア アプリケーションをダウンロードします。マルウェアをダウンロードする場合は、隔離されたテスト環境でダウンロードし、テスト後に完全に削除することをおすすめします。
Google Cloud コンソールで検出結果を確認する
Google Cloud コンソールで VM Threat Detection の検出結果を確認するには、次の操作を行います。
- Google Cloud コンソールで、Security Command Center の [検出結果] ページに移動します。
- Google Cloud プロジェクトまたは組織を選択します。
- [クイック フィルタ] セクションの [ソースの表示名] サブセクションで、[Virtual Machine Threat Detection] を選択します。検出結果クエリの結果は、このソースからの検出結果のみを表示するように更新されます。
- 特定の検出結果の詳細を表示するには、[カテゴリ] 列の検出結果の名前をクリックします。検出結果の詳細パネルが開き、[概要] タブが表示されます。
- [概要] タブで、検出された内容、影響を受けるリソース、検出結果の修正手順(ある場合)に関する情報など、検出結果の詳細を確認します。
- 省略可: 検出結果の完全な JSON 定義を表示するには、[JSON] タブをクリックします。
VM Threat Detection の各検出結果への対応方法については、VM Threat Detection レスポンスをご覧ください。
VM Threat Detection の検出結果の一覧については、検出結果をご覧ください。
重大度
VM Threat Detection の検出結果には、脅威の分類の信頼度に基づいて、高、中、低の重大度が割り当てられます。
複合検出
複合検出は、1 日に複数のカテゴリの結果が検出されたときに発生します。検出結果は 1 つ以上の悪意のあるアプリケーションに起因している可能性があります。たとえば、1 つのアプリケーションで Execution: Cryptocurrency Mining YARA Rule と Execution: Cryptocurrency
Mining Hash Match の検出結果を同時にトリガーする場合があります。同じ日に 1 つのソースから検出された脅威は、1 つの複合検出の検出結果にまとめられます。同じ脅威であっても、その後さらに脅威が見つかると、新しい検出結果に関連付けられます。
複合検出の例については、検出結果の形式の例をご覧ください。
検出フォーマットの例
これらの JSON 出力の例には、VM Threat Detection の検出結果に共通するフィールドが含まれています。各例には、検出結果のタイプに関連するフィールドのみを示します。フィールドの包括的なリストは提供されません。
Security Command Center コンソールから検出結果をエクスポートしたり、Security Command Center API を使用して検出結果を一覧表示できます。
検出結果の例を表示するには、次のノードを 1 つ以上開きます。検出結果の各フィールドの詳細については、Finding をご覧ください。
Defense Evasion: Rootkit
この出力例は、既知のカーネルモード ルートキット(Diamorphine)の検出を示しています。
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Rootkit", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": { "name": "Diamorphine", "unexpected_kernel_code_pages": true, "unexpected_system_call_handler": true }, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Defense Evasion: Unexpected ftrace handler(プレビュー)
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Unexpected ftrace handler", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "MEDIUM", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Defense Evasion: Unexpected interrupt handler(プレビュー)
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Unexpected interrupt handler", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "MEDIUM", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Defense Evasion: Unexpected kernel code modification(プレビュー)
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Unexpected kernel code modification", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "MEDIUM", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Defense Evasion: Unexpected kernel modules(プレビュー)
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Unexpected kernel modules", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "MEDIUM", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Defense Evasion: Unexpected kernel read-only data modification(プレビュー)
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Unexpected kernel read-only data modification", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "MEDIUM", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Defense Evasion: Unexpected kprobe handler(プレビュー)
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Unexpected kprobe handler", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "MEDIUM", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Defense Evasion: Unexpected processes in runqueue(プレビュー)
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Unexpected processes in runqueue", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "MEDIUM", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Defense Evasion: Unexpected system call handler(プレビュー)
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Unexpected system call handler", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "MEDIUM", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Execution: Cryptocurrency Mining Combined
Detection
この出力例は、CRYPTOMINING_HASH モジュールと CRYPTOMINING_YARA モジュールの両方で検出された脅威を示しています。
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID", "category": "Execution: Cryptocurrency Mining Combined Detection", "createTime": "2023-01-05T01:40:48.994Z", "database": {}, "eventTime": "2023-01-05T01:39:36.876Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": { "signatures": [ { "yaraRuleSignature": { "yaraRule": "YARA_RULE1" } }, { "yaraRuleSignature": { "yaraRule": "YARA_RULE9" } }, { "yaraRuleSignature": { "yaraRule": "YARA_RULE10" } }, { "yaraRuleSignature": { "yaraRule": "YARA_RULE25" } }, { "memoryHashSignature": { "binaryFamily": "XMRig", "detections": [ { "binary": "linux-x86-64_xmrig_6.12.2", "percentPagesMatched": 1 } ] } } ] }, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [ { "binary": { "path": "BINARY_PATH" }, "script": {}, "args": [ "./miner", "" ], "pid": "123", "parentPid": "456", "name": "miner" } ], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "project_display_name": "DISPLAY_NAME", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Execution: Cryptocurrency Mining Hash Match
Detection
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID", "category": "Execution: Cryptocurrency Mining Hash Match", "createTime": "2023-01-05T01:40:48.994Z", "database": {}, "eventTime": "2023-01-05T01:39:36.876Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": { "signatures": [ { "memoryHashSignature": { "binaryFamily": "XMRig", "detections": [ { "binary": "linux-x86-64_xmrig_6.12.2", "percentPagesMatched": 1 } ] } } ] }, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [ { "binary": { "path": "BINARY_PATH" }, "script": {}, "args": [ "./miner", "" ], "pid": "123", "parentPid": "456", "name": "miner" } ], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "project_display_name": "DISPLAY_NAME", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Execution: Cryptocurrency Mining YARA Rule
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID", "category": "Execution: Cryptocurrency Mining YARA Rule", "createTime": "2023-01-05T00:37:38.450Z", "database": {}, "eventTime": "2023-01-05T01:12:48.828Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": { "signatures": [ { "yaraRuleSignature": { "yaraRule": "YARA_RULE9" } }, { "yaraRuleSignature": { "yaraRule": "YARA_RULE10" } }, { "yaraRuleSignature": { "yaraRule": "YARA_RULE25" } } ] }, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [ { "binary": { "path": "BINARY_PATH" }, "script": {}, "args": [ "./miner", "" ], "pid": "123", "parentPid": "456", "name": "miner" } ], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "project_display_name": "DISPLAY_NAME", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Malware: Malicious file on disk (YARA)
{ "findings": { "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID", "category": "Malware: Malicious file on disk (YARA)", "createTime": "2023-01-05T00:37:38.450Z", "eventTime": "2023-01-05T01:12:48.828Z", "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": { "signatures": [ { "yaraRuleSignature": { "yaraRule": "M_Backdoor_REDSONJA_4" }, "signatureType": "SIGNATURE_TYPE_FILE", }, { "yaraRuleSignature": { "yaraRule": "M_Backdoor_REDSONJA_3" }, "signatureType": "SIGNATURE_TYPE_FILE", } ] }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "files": [ { "diskPath": { "partition_uuid": "b411dc99-f0a0-4c87-9e05-184977be8539", "relative_path": "RELATIVE_PATH" }, "size": "21238", "sha256": "65d860160bdc9b98abf72407e14ca40b609417de7939897d3b58d55787aaef69", "hashedSize": "21238" } ], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "project_display_name": "DISPLAY_NAME", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
検出結果の状態を変更する
VM Threat Detection によって識別された脅威を解決しても、サービスでは、後続のスキャンで検出結果の状態は自動的に [無効] に設定されません。脅威ドメインの性質上、VM Threat Detection では、脅威が軽減されたか、検出を回避するために変更されたかどうかを判別できません。
セキュリティ チームは、脅威が軽減されたと判断したときに、次の手順で検出結果の状態を「無効」に変更できます。
Google Cloud コンソールで Security Command Center の [検出] ページに移動します。
[表示] の横にある [ソースタイプ] をクリックします。
[ソースタイプ] リストで、[Virtual Machine Threat Detection] を選択します。テーブルに、選択したソースタイプの検出結果が表示されます。
解決された検索結果の横にあるチェックボックスをオンにします。
[アクティブ状態を変更] をクリックします。
[無効] をクリックします。
VM Threat Detection を有効または無効にする
VM Threat Detection は、このサービスの提供が開始した 2022 年 7 月 15 日以降に Security Command Center Premium に登録されたすべてのお客様に対してデフォルトで有効になっています。必要に応じて、プロジェクトまたは組織で手動で無効にするか、再度有効にできます。
組織またはプロジェクトで VM Threat Detection を有効にすると、その組織またはプロジェクト内でサポートされているすべてのリソースが自動的にスキャンされます。逆に、組織またはプロジェクトで VM Threat Detection を無効にすると、サービスは、組織内でサポートされているすべてのリソースのスキャンを停止します。
VM Threat Detection を有効または無効にするには、次の操作を行います。
Console
Google Cloud コンソールで、[Virtual Machine Threat Detection サービス有効化] ページに移動します。
[Virtual Machine Threat Detection] 列で現在のステータスを選択し、次のいずれかを選択します。
- 有効にする: VM Threat Detection を有効にする
- 無効にする: VM Threat Detection を無効にする
- 継承: 親フォルダまたは組織から有効化ステータスを継承します。プロジェクトとフォルダでのみ使用できます。
gcloud
gcloud scc manage services update コマンドは、Security Command Center のサービスまたはモジュールの状態を更新します。
後述のコマンドデータを使用する前に、次のように置き換えます。
-
RESOURCE_TYPE: 更新するリソースのタイプ(organization、folder、またはproject) -
RESOURCE_ID: 更新する組織、フォルダ、またはプロジェクトの数値識別子。プロジェクトの場合、英数字のプロジェクト ID を使用することもできます。 -
NEW_STATE: VM Threat Detection を有効にするにはENABLED、VM Threat Detection を無効にする場合はDISABLED、親リソースの有効化ステータスを継承する場合(プロジェクトとフォルダにのみ有効)はINHERITED。
gcloud scc manage services update コマンドを実行します。
Linux、macOS、Cloud Shell
gcloud scc manage services update vm-threat-detection \ --RESOURCE_TYPE=RESOURCE_ID \ --enablement-state=NEW_STATE
Windows(PowerShell)
gcloud scc manage services update vm-threat-detection ` --RESOURCE_TYPE=RESOURCE_ID ` --enablement-state=NEW_STATE
Windows(cmd.exe)
gcloud scc manage services update vm-threat-detection ^ --RESOURCE_TYPE=RESOURCE_ID ^ --enablement-state=NEW_STATE
次のようなレスポンスが返されます。
effectiveEnablementState: ENABLED
modules:
CRYPTOMINING_HASH:
effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
CRYPTOMINING_YARA:
effectiveEnablementState: ENABLED
KERNEL_INTEGRITY_TAMPERING:
effectiveEnablementState: ENABLED
KERNEL_MEMORY_TAMPERING:
effectiveEnablementState: ENABLED
MALWARE_DISK_SCAN_YARA:
effectiveEnablementState: ENABLED
name: projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection
updateTime: '2024-08-05T22:32:01.536452397Z'
REST
Security Command Center Management API の RESOURCE_TYPE.locations.securityCenterServices.patch メソッドは、Security Command Center のサービスまたはモジュールの状態を更新します。
リクエストのデータを使用する前に、次のように置き換えます。
-
RESOURCE_TYPE: 更新するリソースのタイプ(organizations、folders、またはprojects) -
QUOTA_PROJECT: 課金と割り当てのトラッキングに使用するプロジェクト ID -
RESOURCE_ID: 更新する組織、フォルダ、またはプロジェクトの数値識別子。プロジェクトの場合、英数字のプロジェクト ID を使用することもできます。 -
NEW_STATE: VM Threat Detection を有効にするにはENABLED、VM Threat Detection を無効にする場合はDISABLED、親リソースの有効化ステータスを継承する場合(プロジェクトとフォルダにのみ有効)はINHERITED。
HTTP メソッドと URL:
PATCH https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/vm-threat-detection?updateMask=intendedEnablementState
リクエストの本文(JSON):
{
"intendedEnablementState": "NEW_STATE"
}
リクエストを送信するには、次のいずれかのオプションを展開します。
次のような JSON レスポンスが返されます。
{
"name": "projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection",
"effectiveEnablementState": "ENABLED",
"modules": {
"CRYPTOMINING_YARA": {
"effectiveEnablementState": "ENABLED"
},
"KERNEL_MEMORY_TAMPERING": {
"effectiveEnablementState": "ENABLED"
},
"KERNEL_INTEGRITY_TAMPERING": {
"effectiveEnablementState": "ENABLED"
},
"CRYPTOMINING_HASH": {
"intendedEnablementState": "ENABLED",
"effectiveEnablementState": "ENABLED"
},
"MALWARE_DISK_SCAN_YARA": {
"effectiveEnablementState": "ENABLED"
}
},
"updateTime": "2024-08-05T22:32:01.536452397Z"
}
VM Threat Detection モジュールを有効または無効にする
個々の VM Threat Detection 検出機能(モジュール)を有効または無効にするには、次の操作を行います。変更が反映されるまでには、最長で 1 時間ほどかかることがあります。
すべての VM Threat Detection の脅威の検出結果と、それらを生成するモジュールについては、脅威の検出結果の表をご覧ください。
Console
Google Cloud コンソールでは、組織レベルで VM Threat Detection モジュールを有効または無効にできます。フォルダまたはプロジェクト レベルで VM Threat Detection モジュールを有効または無効にするには、gcloud CLI または REST API を使用します。
Google Cloud コンソールで、[Virtual Machine Threat Detection モジュール] ページに移動します。
[ステータス] 列で、有効または無効にするモジュールの現在のステータスを選択し、次のいずれかを選択します。
- 有効にする: モジュールを有効にします。
- 無効にする: モジュールを無効にします。
gcloud
gcloud scc manage services update コマンドは、Security Command Center のサービスまたはモジュールの状態を更新します。
後述のコマンドデータを使用する前に、次のように置き換えます。
-
RESOURCE_TYPE: 更新するリソースのタイプ(organization、folder、またはproject) -
RESOURCE_ID: 更新する組織、フォルダ、またはプロジェクトの数値識別子。プロジェクトの場合、英数字のプロジェクト ID を使用することもできます。 -
MODULE_NAME: 有効または無効にするモジュールの名前。有効な値については、脅威の検出結果をご覧ください。 -
NEW_STATE: モジュールを有効にする場合はENABLED、モジュールを無効にする場合はDISABLED、親リソースの有効化ステータスを継承する(プロジェクトとフォルダにのみ有効)場合はINHERITED。
次の内容を request.json という名前のファイルに保存します。
{ "MODULE_NAME": { "intendedEnablementState": "NEW_STATE" } }
gcloud scc manage services update コマンドを実行します。
Linux、macOS、Cloud Shell
gcloud scc manage services update vm-threat-detection \ --RESOURCE_TYPE=RESOURCE_ID \ --enablement-state=ENABLED \ --module-config-file=request.json
Windows(PowerShell)
gcloud scc manage services update vm-threat-detection ` --RESOURCE_TYPE=RESOURCE_ID ` --enablement-state=ENABLED \ --module-config-file=request.json
Windows(cmd.exe)
gcloud scc manage services update vm-threat-detection ^ --RESOURCE_TYPE=RESOURCE_ID ^ --enablement-state=ENABLED \ --module-config-file=request.json
次のようなレスポンスが返されます。
effectiveEnablementState: ENABLED
modules:
CRYPTOMINING_HASH:
effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
CRYPTOMINING_YARA:
effectiveEnablementState: ENABLED
KERNEL_INTEGRITY_TAMPERING:
effectiveEnablementState: ENABLED
KERNEL_MEMORY_TAMPERING:
effectiveEnablementState: ENABLED
MALWARE_DISK_SCAN_YARA:
effectiveEnablementState: ENABLED
name: projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection
updateTime: '2024-08-05T22:32:01.536452397Z'
REST
Security Command Center Management API の RESOURCE_TYPE.locations.securityCenterServices.patch メソッドは、Security Command Center のサービスまたはモジュールの状態を更新します。
リクエストのデータを使用する前に、次のように置き換えます。
-
RESOURCE_TYPE: 更新するリソースのタイプ(organizations、folders、またはprojects) -
QUOTA_PROJECT: 課金と割り当てのトラッキングに使用するプロジェクト ID -
RESOURCE_ID: 更新する組織、フォルダ、またはプロジェクトの数値識別子。プロジェクトの場合、英数字のプロジェクト ID を使用することもできます。 -
MODULE_NAME: 有効または無効にするモジュールの名前。有効な値については、脅威の検出結果をご覧ください。 -
NEW_STATE: モジュールを有効にする場合はENABLED、モジュールを無効にする場合はDISABLED、親リソースの有効化ステータスを継承する(プロジェクトとフォルダにのみ有効)場合はINHERITED。
HTTP メソッドと URL:
PATCH https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/vm-threat-detection?updateMask=modules
リクエストの本文(JSON):
{
"modules": {
"MODULE_NAME": {
"intendedEnablementState": "NEW_STATE"
}
}
}
リクエストを送信するには、次のいずれかのオプションを展開します。
次のような JSON レスポンスが返されます。
{
"name": "projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection",
"effectiveEnablementState": "ENABLED",
"modules": {
"CRYPTOMINING_YARA": {
"effectiveEnablementState": "ENABLED"
},
"KERNEL_MEMORY_TAMPERING": {
"effectiveEnablementState": "ENABLED"
},
"KERNEL_INTEGRITY_TAMPERING": {
"effectiveEnablementState": "ENABLED"
},
"CRYPTOMINING_HASH": {
"intendedEnablementState": "ENABLED",
"effectiveEnablementState": "ENABLED"
},
"MALWARE_DISK_SCAN_YARA": {
"effectiveEnablementState": "ENABLED"
}
},
"updateTime": "2024-08-05T22:32:01.536452397Z"
}
VM Threat Detection モジュールの設定を表示する
すべての VM Threat Detection の脅威の検出結果と、それらを生成するモジュールについては、脅威の検出結果の表をご覧ください。
Console
Google Cloud コンソールでは、組織レベルで VM Threat Detection モジュールの設定を表示できます。フォルダまたはプロジェクト レベルで VM Threat Detection モジュールの設定を表示するには、gcloud CLI または REST API を使用します。
Google Cloud コンソールで設定を表示するには、[Virtual Machine Threat Detection モジュール] ページに移動します。
gcloud
gcloud scc manage services update コマンドは、Security Command Center のサービスまたはモジュールの状態を取得します。
後述のコマンドデータを使用する前に、次のように置き換えます。
-
RESOURCE_TYPE: 取得するリソースのタイプ(organizations、folders、またはprojects) -
QUOTA_PROJECT: 課金と割り当てのトラッキングに使用するプロジェクト ID -
RESOURCE_ID: 取得する組織、フォルダ、またはプロジェクトの数値識別子。プロジェクトの場合、英数字のプロジェクト ID を使用することもできます。
次の内容を request.json という名前のファイルに保存します。
{ "MODULE_NAME": { "intendedEnablementState": "NEW_STATE" } }
gcloud scc manage services update コマンドを実行します。
Linux、macOS、Cloud Shell
gcloud scc manage services update vm-threat-detection \ --RESOURCE_TYPE=RESOURCE_ID
Windows(PowerShell)
gcloud scc manage services update vm-threat-detection ` --RESOURCE_TYPE=RESOURCE_ID
Windows(cmd.exe)
gcloud scc manage services update vm-threat-detection ^ --RESOURCE_TYPE=RESOURCE_ID
次のようなレスポンスが返されます。
effectiveEnablementState: ENABLED
modules:
CRYPTOMINING_HASH:
effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
CRYPTOMINING_YARA:
effectiveEnablementState: ENABLED
KERNEL_INTEGRITY_TAMPERING:
effectiveEnablementState: ENABLED
KERNEL_MEMORY_TAMPERING:
effectiveEnablementState: ENABLED
MALWARE_DISK_SCAN_YARA:
effectiveEnablementState: ENABLED
name: projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection
updateTime: '2024-08-05T22:32:01.536452397Z'
REST
Security Command Center Management API の RESOURCE_TYPE.locations.securityCenterServices.get メソッドは、Security Command Center のサービスまたはモジュールの状態を取得します。
リクエストのデータを使用する前に、次のように置き換えます。
-
RESOURCE_TYPE: 取得するリソースのタイプ(organizations、folders、またはprojects) -
QUOTA_PROJECT: 課金と割り当てのトラッキングに使用するプロジェクト ID -
RESOURCE_ID: 取得する組織、フォルダ、またはプロジェクトの数値識別子。プロジェクトの場合、英数字のプロジェクト ID を使用することもできます。
HTTP メソッドと URL:
GET https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/vm-threat-detection
リクエストを送信するには、次のいずれかのオプションを展開します。
次のような JSON レスポンスが返されます。
{
"name": "projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection",
"effectiveEnablementState": "ENABLED",
"modules": {
"CRYPTOMINING_YARA": {
"effectiveEnablementState": "ENABLED"
},
"KERNEL_MEMORY_TAMPERING": {
"effectiveEnablementState": "ENABLED"
},
"KERNEL_INTEGRITY_TAMPERING": {
"effectiveEnablementState": "ENABLED"
},
"CRYPTOMINING_HASH": {
"intendedEnablementState": "ENABLED",
"effectiveEnablementState": "ENABLED"
},
"MALWARE_DISK_SCAN_YARA": {
"effectiveEnablementState": "ENABLED"
}
},
"updateTime": "2024-08-05T22:32:01.536452397Z"
}
暗号通貨マイニングの検出に使用されるソフトウェア名と YARA ルール
以下に、暗号通貨マイニングの検出結果をトリガーするバイナリの名前と YARA ルールのリストを示します。リストを表示するには、ノードを展開してください。
Execution: Cryptocurrency Mining Hash Match
- Arionum CPU miner: Arionum 暗号通貨のマイニング ソフトウェア
- Avermore: Scrypt ベースの暗号通貨のマイニング ソフトウェア
- Beam CUDA miner: Equihash ベースの暗号通貨のマイニング ソフトウェア
- Beam OpenCL miner: Equihash ベースの暗号通貨のマイニング ソフトウェア
- BFGMiner: Bitcoin の ASIC/FPGA ベースのマイニング ソフトウェア
- BMiner: さまざまな暗号通貨のマイニング ソフトウェア
- Cast XMR: CryptoNight ベースの暗号通貨のマイニング ソフトウェア
- ccminer: CUDA ベースのマイニング ソフトウェア
- cgminer: ビットコインの ASIC/FPGA ベースのマイニング ソフトウェア
- Claymore's miner: さまざまな暗号通貨の GPU ベースのマイニング ソフトウェア
- CPUMiner: CPU ベースのマイニング ソフトウェア ファミリー
- CryptoDredge: CryptoDredge のマイニング ソフトウェア ファミリー
- CryptoGoblin: CryptoNight ベースの暗号通貨のマイニング ソフトウェア
- DamoMiner: Ethereum などの暗号通貨の GPU ベースのマイニング ソフトウェア
- DigitsMiner: Digits のマイニング ソフトウェア
- EasyMiner: ビットコインなどの暗号通貨のマイニング ソフトウェア
- Ethminer: Ethereum などの暗号通貨のマイニング ソフトウェア
- EWBF: Equihash ベースの暗号通貨のマイニング ソフトウェア
- FinMiner: Ethash と CryptoNight ベースの暗号通貨のマイニング ソフトウェア
- Funakoshi Miner: Bitcoin-Gold 暗号通貨のマイニング ソフトウェア
- Geth: Ethereum のマイニング ソフトウェア
- GMiner: さまざまな暗号通貨のマイニング ソフトウェア
- gominer: Decred のマイニング ソフトウェア
- GrinGoldMiner: Grin のマイニング ソフトウェア
- Hush: Zcash ベースの暗号通貨のマイニング ソフトウェア
- IxiMiner: Ixian のマイニング ソフトウェア
- kawpowminer: Ravencoin のマイニング ソフトウェア
- Komodo: Komodo のマイニング ソフトウェア ファミリー
- lolMiner: さまざまな暗号通貨のマイニング ソフトウェア
- lukMiner: さまざまな暗号通貨のマイニング ソフトウェア
- MinerGate: さまざまな暗号通貨のマイニング ソフトウェア
- miniZ: Equihash ベースの暗号通貨のマイニング ソフトウェア
- Mirai: 暗号通貨のマイニングに使用できるマルウェア
- MultiMiner: さまざまな暗号通貨のマイニング ソフトウェア
- nanominer: さまざまな暗号通貨のマイニング ソフトウェア
- NBMiner: さまざまな暗号通貨のマイニング ソフトウェア
- Nevermore: さまざまな暗号通貨のマイニング ソフトウェア
- nheqminer: NiceHash のマイニング ソフトウェア
- NinjaRig: Argon2 ベースの暗号通貨のマイニング ソフトウェア
- NodeCore PoW CUDA Miner: VeriBlock のマイニング ソフトウェア
- NoncerPro: Nimiq のマイニング ソフトウェア
- Optiminer/Equihash: Equihash ベースの暗号通貨のマイニング ソフトウェア
- PascalCoin: PascalCoin のマイニング ソフトウェア ファミリー
- PhoenixMiner: Ethereum のマイニング ソフトウェア
- Pooler CPU Miner: Litecoin と Bitcoin のマイニング ソフトウェア
- ProgPoW Miner: Ethereum などの暗号通貨のマイニング ソフトウェア
- rhminer: PascalCoin のマイニング ソフトウェア
- sgminer: Scrypt ベースの暗号通貨のマイニング ソフトウェア
- simplecoin: Scrypt ベースの SimpleCoin のマイニング ソフトウェア ファミリー
- Skypool Nimiq Miner: Nimiq のマイニング ソフトウェア
- SwapReferenceMiner: Grin のマイニング ソフトウェア
- Team Red Miner: さまざまな暗号通貨の AMD ベースのマイニング ソフトウェア
- T-Rex: さまざまな暗号通貨のマイニング ソフトウェア
- TT-Miner: さまざまな暗号通貨のマイニング ソフトウェア
- Ubqminer: Ubqhash ベースの暗号通貨のマイニング ソフトウェア
- VersusCoin: VersusCoin のマイニング ソフトウェア
- violetminer: Argon2 ベースの暗号通貨のマイニング ソフトウェア
- webchain-miner: MintMe のマイニング ソフトウェア
- WildRig: さまざまな暗号通貨のマイニング ソフトウェア
- XCASH_ALL_Miner: XCASH のマイニング ソフトウェア
- xFash: MinerGate のマイニング ソフトウェア
- XLArig: CryptoNight ベースの暗号通貨のマイニング ソフトウェア
- XMRig: さまざまな暗号通貨のマイニング ソフトウェア
- Xmr-Stak: CryptoNight ベースの暗号通貨のマイニング ソフトウェア
- XMR-Stak TurtleCoin: CryptoNight ベースの暗号通貨のマイニング ソフトウェア
- Xtl-Stak: CryptoNight ベースの暗号通貨のマイニング ソフトウェア
- Yam Miner: MinerGate のマイニング ソフトウェア
- YCash: YCash のマイニング ソフトウェア
- ZCoin: ZCoin/Fire のマイニング ソフトウェア
- Zealot/Enemy: さまざまな暗号通貨のマイニング ソフトウェア
- Cryptocurrency miner signal1
1 この一般的な脅威名は、不明な暗号通貨マイナーが VM で稼働している可能性があるものの、VM Threat Detection にマイナーに関する特定の情報がないことを示しています。
Execution: Cryptocurrency Mining YARA Rule
- YARA_RULE1: Monero のマイニング ソフトウェアを照合
- YARA_RULE9: Blake2 と AES 暗号を使用するマイニング ソフトウェアを照合
- YARA_RULE10: CryptoNight のプルーフオブワーク ルーチンを使用するマイニング ソフトウェアを照合
- YARA_RULE15: NBMiner のマイニング ソフトウェアを照合
- YARA_RULE17: Scrypt のプルーフオブワーク ルーチンを使用するマイニング ソフトウェアを照合
- YARA_RULE18: Scrypt のプルーフオブワーク ルーチンを使用するマイニング ソフトウェアを照合
- YARA_RULE19: BFGMiner のマイニング ソフトウェアを照合
- YARA_RULE24: XMR-Stak のマイニング ソフトウェアを照合
- YARA_RULE25: XMRig のマイニング ソフトウェアを照合
- DYNAMIC_YARA_RULE_BFGMINER_2: BFGMiner のマイニング ソフトウェアを照合
次のステップ
- VM Threat Detection の詳細を確認する。
- VM Threat Detection の検出結果の調査方法を確認する。