Virtual Machine Threat Detection 사용

이 페이지에서는 VM Threat Detection 발견 항목을 보고 관리하는 방법을 설명합니다. 서비스와 모듈을 사용 설정하거나 중지하는 방법도 보여줍니다.

개요

Virtual Machine Threat Detection은 Enterprise 및 Premium 등급에서 사용할 수 있는 Security Command Center의 기본 제공 서비스입니다. 이 서비스는 Compute Engine 인스턴스를 스캔하여 보안 침해된 클라우드 환경에서 실행되는 암호화폐 채굴 소프트웨어, 커널 모드 루트킷, 멀웨어와 같은 잠재적 악성 애플리케이션을 감지합니다.

VM Threat Detection은 Security Command Center 위협 감지 제품군의 일부이며 Event Threat DetectionContainer Threat Detection의 기존 기능을 보완하도록 설계되었습니다.

자세한 내용은 VM Threat Detection 개요를 참조하세요.

비용

Security Command Center 프리미엄에 등록하면 VM Threat Detection을 사용하는 데 추가 비용이 들지 않습니다.

시작하기 전에

이 기능을 사용하려면 Security Command Center 프리미엄에 등록해야 합니다.

또한 발견 항목을 보거나 수정하고 Google Cloud 리소스를 수정하려면 적절한 Identity and Access Management(IAM) 역할이 필요합니다. Security Command Center에서 액세스 오류가 발생하면 관리자에게 지원을 요청하세요. 역할에 대한 자세한 내용은 액세스 제어를 참조하세요.

VM Threat Detection 테스트

VM Threat Detection 암호화폐 채굴 감지를 테스트하려면 VM에서 암호화폐 채굴 애플리케이션을 실행하면 됩니다. 발견 항목을 트리거하는 바이너리 이름 및 YARA 규칙 목록은 소프트웨어 이름 및 YARA 규칙을 참조하세요. 채굴 애플리케이션을 설치하고 테스트할 때는 격리된 테스트 환경에서만 애플리케이션을 실행하고, 사용을 면밀히 모니터링하고, 테스트 후에는 완전히 삭제하는 것이 좋습니다.

VM Threat Detection 멀웨어 감지를 테스트하려면 VM에 멀웨어 애플리케이션을 다운로드하면 됩니다. 멀웨어를 다운로드할 때는 격리된 테스트 환경에서 다운로드하고 테스트 후 완전히 삭제하는 것이 좋습니다.

Google Cloud 콘솔에서 발견 항목 검토

Google Cloud 콘솔에서 VM Threat Detection 발견 항목을 검토하려면 다음 안내를 따르세요.

  1. Google Cloud 콘솔에서 Security Command Center의 발견 항목 페이지로 이동합니다.

    발견 항목으로 이동

  2. Google Cloud 프로젝트 또는 조직을 선택합니다.
  3. 빠른 필터 섹션의 소스 표시 이름 하위 섹션에서 Virtual Machine Threat Detection을 선택합니다. 이 소스의 발견 항목만 표시되도록 발견 항목 쿼리 결과가 업데이트됩니다.
  4. 특정 발견 항목의 세부정보를 보려면 카테고리 열에서 발견 항목 이름을 클릭합니다. 발견 항목의 세부정보 패널이 열리고 요약 탭이 표시됩니다.
  5. 요약 탭에서 감지된 항목, 영향을 받은 리소스, 발견 항목을 해결하기 위해 취할 수 있는 단계(있는 경우)에 관한 정보를 포함하여 발견 항목의 세부정보를 검토합니다.
  6. 선택사항: 발견 항목의 전체 JSON 정의를 보려면 JSON 탭을 클릭합니다.

각 VM Threat Detection 발견 항목에 대응하는 방법에 대한 자세한 내용은 VM Threat Detection 응답을 참조하세요.

VM Threat Detection 발견 항목 목록은 발견 항목을 참조하세요.

심각도

VM Threat Detection 발견 항목에는 위협 분류 신뢰도에 따라 높음, 중간, 낮음의 심각도가 할당됩니다.

결합된 감지

결합된 감지는 하루에 여러 카테고리의 발견 항목이 감지되면 발생합니다. 이 발견 항목은 하나 이상의 악성 애플리케이션으로 인해 발생할 수 있습니다. 예를 들어 단일 애플리케이션이 Execution: Cryptocurrency Mining YARA RuleExecution: Cryptocurrency Mining Hash Match 발견 항목을 동시에 트리거할 수 있습니다. 하지만 같은 날 단일 소스에서 감지된 모든 위협은 하나의 통합 감지 발견 항목으로 합쳐집니다. 다음 날 더 많은 위협이 발견되면 동일한 위협이더라도 새 발견 항목에 연결됩니다.

결합된 감지 발견 항목의 예시는 예시 발견 항목 형식을 참조하세요.

발견 항목 형식 예시

이 JSON 출력 예시에는 VM Threat Detection 발견 항목에서 공통되는 필드가 포함되어 있습니다. 각 예시에는 발견 항목 유형과 관련된 필드만 표시되며 모든 필드의 전체 목록이 제공되지는 않습니다.

Security Command Center 콘솔을 통해 발견 항목을 내보내거나 Security Command Center API를 통해 발견 항목을 나열할 수 있습니다.

발견 항목 예시를 보려면 다음 노드 중 하나 이상을 확장하세요. 발견 항목의 각 필드에 대한 자세한 내용은 Finding을 참조하세요.

Defense Evasion: Rootkit

이 출력 예시는 알려진 커널 모드 루트킷인 Diamorphine의 발견 항목을 보여줍니다.

{
  "findings": {
    "access": {},
    "assetDisplayName": "DISPLAY_NAME",
    "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
    "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
    "category": "Defense Evasion: Rootkit",
    "createTime": "2023-01-12T00:39:33.007Z",
    "database": {},
    "eventTime": "2023-01-11T21:24:05.326Z",
    "exfiltration": {},
    "findingClass": "THREAT",
    "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
    "indicator": {},
    "kernelRootkit": {
      "name": "Diamorphine",
      "unexpected_kernel_code_pages": true,
      "unexpected_system_call_handler": true
    },
    "kubernetes": {},
    "mitreAttack": {
      "version": "9"
    },
    "mute": "UNDEFINED",
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
    "parentDisplayName": "Virtual Machine Threat Detection",
    "processes": [],
    "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
    "severity": "HIGH",
    "sourceDisplayName": "Virtual Machine Threat Detection",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
    "display_name": "DISPLAY_NAME",
    "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
    "project_display_name": "PROJECT_ID",
    "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
    "parent_display_name": "DISPLAY_NAME",
    "type": "google.compute.Instance",
    "folders": []
  },
  "sourceProperties": {}
}
      

Defense Evasion: Unexpected ftrace handler(미리보기)

  {
    "findings": {
      "access": {},
      "assetDisplayName": "DISPLAY_NAME",
      "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
      "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
      "category": "Defense Evasion: Unexpected ftrace handler",
      "createTime": "2023-01-12T00:39:33.007Z",
      "database": {},
      "eventTime": "2023-01-11T21:24:05.326Z",
      "exfiltration": {},
      "findingClass": "THREAT",
      "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
      "indicator": {},
      "kernelRootkit": {},
      "kubernetes": {},
      "mitreAttack": {
        "version": "9"
      },
      "mute": "UNDEFINED",
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
      "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
      "parentDisplayName": "Virtual Machine Threat Detection",
      "processes": [],
      "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "severity": "MEDIUM",
      "sourceDisplayName": "Virtual Machine Threat Detection",
      "state": "ACTIVE",
      "vulnerability": {},
      "workflowState": "NEW"
    },
    "resource": {
      "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "display_name": "DISPLAY_NAME",
      "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "project_display_name": "PROJECT_ID",
      "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "parent_display_name": "DISPLAY_NAME",
      "type": "google.compute.Instance",
      "folders": []
    },
    "sourceProperties": {}
  }
      

Defense Evasion: Unexpected interrupt handler(미리보기)

  {
    "findings": {
      "access": {},
      "assetDisplayName": "DISPLAY_NAME",
      "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
      "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
      "category": "Defense Evasion: Unexpected interrupt handler",
      "createTime": "2023-01-12T00:39:33.007Z",
      "database": {},
      "eventTime": "2023-01-11T21:24:05.326Z",
      "exfiltration": {},
      "findingClass": "THREAT",
      "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
      "indicator": {},
      "kernelRootkit": {},
      "kubernetes": {},
      "mitreAttack": {
        "version": "9"
      },
      "mute": "UNDEFINED",
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
      "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
      "parentDisplayName": "Virtual Machine Threat Detection",
      "processes": [],
      "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "severity": "MEDIUM",
      "sourceDisplayName": "Virtual Machine Threat Detection",
      "state": "ACTIVE",
      "vulnerability": {},
      "workflowState": "NEW"
    },
    "resource": {
      "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "display_name": "DISPLAY_NAME",
      "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "project_display_name": "PROJECT_ID",
      "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "parent_display_name": "DISPLAY_NAME",
      "type": "google.compute.Instance",
      "folders": []
    },
    "sourceProperties": {}
  }
      

Defense Evasion: Unexpected kernel code modification(미리보기)

  {
    "findings": {
      "access": {},
      "assetDisplayName": "DISPLAY_NAME",
      "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
      "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
      "category": "Defense Evasion: Unexpected kernel code modification",
      "createTime": "2023-01-12T00:39:33.007Z",
      "database": {},
      "eventTime": "2023-01-11T21:24:05.326Z",
      "exfiltration": {},
      "findingClass": "THREAT",
      "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
      "indicator": {},
      "kernelRootkit": {},
      "kubernetes": {},
      "mitreAttack": {
        "version": "9"
      },
      "mute": "UNDEFINED",
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
      "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
      "parentDisplayName": "Virtual Machine Threat Detection",
      "processes": [],
      "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "severity": "MEDIUM",
      "sourceDisplayName": "Virtual Machine Threat Detection",
      "state": "ACTIVE",
      "vulnerability": {},
      "workflowState": "NEW"
    },
    "resource": {
      "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "display_name": "DISPLAY_NAME",
      "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "project_display_name": "PROJECT_ID",
      "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "parent_display_name": "DISPLAY_NAME",
      "type": "google.compute.Instance",
      "folders": []
    },
    "sourceProperties": {}
  }
      

Defense Evasion: Unexpected kernel modules(미리보기)

  {
    "findings": {
      "access": {},
      "assetDisplayName": "DISPLAY_NAME",
      "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
      "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
      "category": "Defense Evasion: Unexpected kernel modules",
      "createTime": "2023-01-12T00:39:33.007Z",
      "database": {},
      "eventTime": "2023-01-11T21:24:05.326Z",
      "exfiltration": {},
      "findingClass": "THREAT",
      "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
      "indicator": {},
      "kernelRootkit": {},
      "kubernetes": {},
      "mitreAttack": {
        "version": "9"
      },
      "mute": "UNDEFINED",
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
      "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
      "parentDisplayName": "Virtual Machine Threat Detection",
      "processes": [],
      "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "severity": "MEDIUM",
      "sourceDisplayName": "Virtual Machine Threat Detection",
      "state": "ACTIVE",
      "vulnerability": {},
      "workflowState": "NEW"
    },
    "resource": {
      "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "display_name": "DISPLAY_NAME",
      "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "project_display_name": "PROJECT_ID",
      "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "parent_display_name": "DISPLAY_NAME",
      "type": "google.compute.Instance",
      "folders": []
    },
    "sourceProperties": {}
  }
      

Defense Evasion: Unexpected kernel read-only data modification(미리보기)

  {
    "findings": {
      "access": {},
      "assetDisplayName": "DISPLAY_NAME",
      "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
      "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
      "category": "Defense Evasion: Unexpected kernel read-only data modification",
      "createTime": "2023-01-12T00:39:33.007Z",
      "database": {},
      "eventTime": "2023-01-11T21:24:05.326Z",
      "exfiltration": {},
      "findingClass": "THREAT",
      "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
      "indicator": {},
      "kernelRootkit": {},
      "kubernetes": {},
      "mitreAttack": {
        "version": "9"
      },
      "mute": "UNDEFINED",
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
      "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
      "parentDisplayName": "Virtual Machine Threat Detection",
      "processes": [],
      "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "severity": "MEDIUM",
      "sourceDisplayName": "Virtual Machine Threat Detection",
      "state": "ACTIVE",
      "vulnerability": {},
      "workflowState": "NEW"
    },
    "resource": {
      "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "display_name": "DISPLAY_NAME",
      "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "project_display_name": "PROJECT_ID",
      "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "parent_display_name": "DISPLAY_NAME",
      "type": "google.compute.Instance",
      "folders": []
    },
    "sourceProperties": {}
  }
      

Defense Evasion: Unexpected kprobe handler(미리보기)

  {
    "findings": {
      "access": {},
      "assetDisplayName": "DISPLAY_NAME",
      "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
      "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
      "category": "Defense Evasion: Unexpected kprobe handler",
      "createTime": "2023-01-12T00:39:33.007Z",
      "database": {},
      "eventTime": "2023-01-11T21:24:05.326Z",
      "exfiltration": {},
      "findingClass": "THREAT",
      "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
      "indicator": {},
      "kernelRootkit": {},
      "kubernetes": {},
      "mitreAttack": {
        "version": "9"
      },
      "mute": "UNDEFINED",
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
      "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
      "parentDisplayName": "Virtual Machine Threat Detection",
      "processes": [],
      "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "severity": "MEDIUM",
      "sourceDisplayName": "Virtual Machine Threat Detection",
      "state": "ACTIVE",
      "vulnerability": {},
      "workflowState": "NEW"
    },
    "resource": {
      "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "display_name": "DISPLAY_NAME",
      "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "project_display_name": "PROJECT_ID",
      "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "parent_display_name": "DISPLAY_NAME",
      "type": "google.compute.Instance",
      "folders": []
    },
    "sourceProperties": {}
  }
      

Defense Evasion: Unexpected processes in runqueue(미리보기)

  {
    "findings": {
      "access": {},
      "assetDisplayName": "DISPLAY_NAME",
      "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
      "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
      "category": "Defense Evasion: Unexpected processes in runqueue",
      "createTime": "2023-01-12T00:39:33.007Z",
      "database": {},
      "eventTime": "2023-01-11T21:24:05.326Z",
      "exfiltration": {},
      "findingClass": "THREAT",
      "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
      "indicator": {},
      "kernelRootkit": {},
      "kubernetes": {},
      "mitreAttack": {
        "version": "9"
      },
      "mute": "UNDEFINED",
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
      "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
      "parentDisplayName": "Virtual Machine Threat Detection",
      "processes": [],
      "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "severity": "MEDIUM",
      "sourceDisplayName": "Virtual Machine Threat Detection",
      "state": "ACTIVE",
      "vulnerability": {},
      "workflowState": "NEW"
    },
    "resource": {
      "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "display_name": "DISPLAY_NAME",
      "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "project_display_name": "PROJECT_ID",
      "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "parent_display_name": "DISPLAY_NAME",
      "type": "google.compute.Instance",
      "folders": []
    },
    "sourceProperties": {}
  }
      

Defense Evasion: Unexpected system call handler(미리보기)

  {
    "findings": {
      "access": {},
      "assetDisplayName": "DISPLAY_NAME",
      "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
      "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
      "category": "Defense Evasion: Unexpected system call handler",
      "createTime": "2023-01-12T00:39:33.007Z",
      "database": {},
      "eventTime": "2023-01-11T21:24:05.326Z",
      "exfiltration": {},
      "findingClass": "THREAT",
      "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
      "indicator": {},
      "kernelRootkit": {},
      "kubernetes": {},
      "mitreAttack": {
        "version": "9"
      },
      "mute": "UNDEFINED",
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
      "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
      "parentDisplayName": "Virtual Machine Threat Detection",
      "processes": [],
      "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "severity": "MEDIUM",
      "sourceDisplayName": "Virtual Machine Threat Detection",
      "state": "ACTIVE",
      "vulnerability": {},
      "workflowState": "NEW"
    },
    "resource": {
      "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "display_name": "DISPLAY_NAME",
      "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "project_display_name": "PROJECT_ID",
      "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "parent_display_name": "DISPLAY_NAME",
      "type": "google.compute.Instance",
      "folders": []
    },
    "sourceProperties": {}
  }
      

Execution: Cryptocurrency Mining Combined Detection

이 출력 예시는 CRYPTOMINING_HASHCRYPTOMINING_YARA 모듈 모두에서 감지된 위협을 보여줍니다.

{
  "findings": {
    "access": {},
    "assetDisplayName": "DISPLAY_NAME",
    "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
    "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "category": "Execution: Cryptocurrency Mining Combined Detection",
    "createTime": "2023-01-05T01:40:48.994Z",
    "database": {},
    "eventTime": "2023-01-05T01:39:36.876Z",
    "exfiltration": {},
    "findingClass": "THREAT",
    "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
    "indicator": {
      "signatures": [
        {
          "yaraRuleSignature": {
            "yaraRule": "YARA_RULE1"
          }
        },
        {
          "yaraRuleSignature": {
            "yaraRule": "YARA_RULE9"
          }
        },
        {
          "yaraRuleSignature": {
            "yaraRule": "YARA_RULE10"
          }
        },
        {
          "yaraRuleSignature": {
            "yaraRule": "YARA_RULE25"
          }
        },
        {
          "memoryHashSignature": {
            "binaryFamily": "XMRig",
            "detections": [
              {
                "binary": "linux-x86-64_xmrig_6.12.2",
                "percentPagesMatched": 1
              }
            ]
          }
        }
      ]
    },
    "kernelRootkit": {},
    "kubernetes": {},
    "mitreAttack": {
      "version": "9"
    },
    "mute": "UNDEFINED",
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
    "parentDisplayName": "Virtual Machine Threat Detection",
    "processes": [
      {
        "binary": {
          "path": "BINARY_PATH"
        },
        "script": {},
        "args": [
          "./miner",
          ""
        ],
        "pid": "123",
        "parentPid": "456",
        "name": "miner"
      }
    ],
    "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
    "severity": "HIGH",
    "sourceDisplayName": "Virtual Machine Threat Detection",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
    "display_name": "DISPLAY_NAME",
    "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "project_display_name": "DISPLAY_NAME",
    "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "parent_display_name": "DISPLAY_NAME",
    "type": "google.compute.Instance",
    "folders": []
  },
  "sourceProperties": {}
}
    

Execution: Cryptocurrency Mining Hash Match Detection

{
  "findings": {
    "access": {},
    "assetDisplayName": "DISPLAY_NAME",
    "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
    "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "category": "Execution: Cryptocurrency Mining Hash Match",
    "createTime": "2023-01-05T01:40:48.994Z",
    "database": {},
    "eventTime": "2023-01-05T01:39:36.876Z",
    "exfiltration": {},
    "findingClass": "THREAT",
    "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
    "indicator": {
      "signatures": [
        {
          "memoryHashSignature": {
            "binaryFamily": "XMRig",
            "detections": [
              {
                "binary": "linux-x86-64_xmrig_6.12.2",
                "percentPagesMatched": 1
              }
            ]
          }
        }
      ]
    },
    "kernelRootkit": {},
    "kubernetes": {},
    "mitreAttack": {
      "version": "9"
    },
    "mute": "UNDEFINED",
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
    "parentDisplayName": "Virtual Machine Threat Detection",
    "processes": [
      {
        "binary": {
          "path": "BINARY_PATH"
        },
        "script": {},
        "args": [
          "./miner",
          ""
        ],
        "pid": "123",
        "parentPid": "456",
        "name": "miner"
      }
    ],
    "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
    "severity": "HIGH",
    "sourceDisplayName": "Virtual Machine Threat Detection",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
    "display_name": "DISPLAY_NAME",
    "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "project_display_name": "DISPLAY_NAME",
    "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "parent_display_name": "DISPLAY_NAME",
    "type": "google.compute.Instance",
    "folders": []
  },
  "sourceProperties": {}
}
    

Execution: Cryptocurrency Mining YARA Rule

{
  "findings": {
    "access": {},
    "assetDisplayName": "DISPLAY_NAME",
    "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
    "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "category": "Execution: Cryptocurrency Mining YARA Rule",
    "createTime": "2023-01-05T00:37:38.450Z",
    "database": {},
    "eventTime": "2023-01-05T01:12:48.828Z",
    "exfiltration": {},
    "findingClass": "THREAT",
    "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
    "indicator": {
      "signatures": [
        {
          "yaraRuleSignature": {
            "yaraRule": "YARA_RULE9"
          }
        },
        {
          "yaraRuleSignature": {
            "yaraRule": "YARA_RULE10"
          }
        },
        {
          "yaraRuleSignature": {
            "yaraRule": "YARA_RULE25"
          }
        }
      ]
    },
    "kernelRootkit": {},
    "kubernetes": {},
    "mitreAttack": {
      "version": "9"
    },
    "mute": "UNDEFINED",
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
    "parentDisplayName": "Virtual Machine Threat Detection",
    "processes": [
      {
        "binary": {
          "path": "BINARY_PATH"
        },
        "script": {},
        "args": [
          "./miner",
          ""
        ],
        "pid": "123",
        "parentPid": "456",
        "name": "miner"
      }
    ],
    "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
    "severity": "HIGH",
    "sourceDisplayName": "Virtual Machine Threat Detection",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
    "display_name": "DISPLAY_NAME",
    "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "project_display_name": "DISPLAY_NAME",
    "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "parent_display_name": "DISPLAY_NAME",
    "type": "google.compute.Instance",
    "folders": []
  },
  "sourceProperties": {}
}
    

Malware: Malicious file on disk (YARA)

{
  "findings": {
    "assetDisplayName": "DISPLAY_NAME",
    "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
    "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "category": "Malware: Malicious file on disk (YARA)",
    "createTime": "2023-01-05T00:37:38.450Z",
    "eventTime": "2023-01-05T01:12:48.828Z",
    "findingClass": "THREAT",
    "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
    "indicator": {
      "signatures": [
        {
          "yaraRuleSignature": {
            "yaraRule": "M_Backdoor_REDSONJA_4"
          },
          "signatureType": "SIGNATURE_TYPE_FILE",
        },
        {
          "yaraRuleSignature": {
            "yaraRule": "M_Backdoor_REDSONJA_3"
          },
          "signatureType": "SIGNATURE_TYPE_FILE",
        }
      ]
    },
    "mute": "UNDEFINED",
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
    "parentDisplayName": "Virtual Machine Threat Detection",
    "files": [
      {
        "diskPath": {
          "partition_uuid": "b411dc99-f0a0-4c87-9e05-184977be8539",
          "relative_path": "RELATIVE_PATH"
        },
        "size": "21238",
        "sha256": "65d860160bdc9b98abf72407e14ca40b609417de7939897d3b58d55787aaef69",
        "hashedSize": "21238"
      }
    ],
    "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
    "severity": "HIGH",
    "sourceDisplayName": "Virtual Machine Threat Detection",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
    "display_name": "DISPLAY_NAME",
    "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "project_display_name": "DISPLAY_NAME",
    "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "parent_display_name": "DISPLAY_NAME",
    "type": "google.compute.Instance",
    "folders": []
  },
  "sourceProperties": {}
}
    

발견 항목의 상태 변경

VM Threat Detection으로 식별된 위협을 해결할 때 서비스는 후속 스캔에서 발견 항목의 상태를 비활성으로 자동으로 설정하지 않습니다. 위협 도메인의 특성으로 인해 VM Threat Detection에서 위협이 완화되었는지 또는 감지를 피하기 위해 변경되었는지 확인할 수 없습니다.

보안팀은 위협이 완화되었다고 판단되면 다음 단계를 수행하여 발견 항목의 상태를 비활성으로 변경할 수 있습니다.

  1. Google Cloud 콘솔에서 Security Command Center 발견 항목 페이지로 이동합니다.

    발견 항목으로 이동

  2. 보기 기준 옆에 있는 소스 유형을 클릭합니다.

  3. 소스 유형 목록에서 Virtual Machine Threat Detection을 선택합니다. 테이블에 선택한 소스 유형의 발견 항목이 채워집니다.

  4. 해결된 발견 항목 옆의 체크박스를 선택합니다.

  5. 활성 상태 변경을 클릭합니다.

  6. 비활성을 클릭합니다.

VM Threat Detection 사용 설정 또는 중지

VM Threat Detection은 이 서비스가 정식 버전이 된 2022년 7월 15일 이후에 Security Command Center 프리미엄에 등록한 모든 고객에게 기본적으로 사용 설정됩니다. 필요한 경우 수동으로 프로젝트 또는 조직에서 이를 중지하거나 다시 사용 설정할 수 있습니다.

조직 또는 프로젝트에서 VM Threat Detection을 사용 설정하면 서비스가 해당 조직 또는 프로젝트에 있는 모든 지원되는 리소스를 자동으로 스캔합니다. 반대로 조직 또는 프로젝트에서 VM Threat Detection을 중지하면 서비스에서 지원되는 모든 리소스의 스캔을 중지합니다.

VM Threat Detection을 사용 설정 또는 중지하려면 다음 안내를 따르세요.

콘솔

  1. Google Cloud 콘솔에서 Virtual Machine Threat Detection 서비스 사용 설정 페이지로 이동합니다.

    서비스 사용 설정으로 이동

  2. Virtual Machine Threat Detection 열에서 현재 상태를 선택한 다음 다음 중 하나를 선택합니다.

    • 사용 설정: VM Threat Detection을 사용 설정합니다.
    • 사용 중지: VM Threat Detection을 사용 중지합니다.
    • 상속: 상위 폴더 또는 조직에서 사용 설정 상태를 상속합니다. 프로젝트 및 폴더에만 사용할 수 있습니다.

gcloud

gcloud scc manage services update 명령어는 Security Command Center 서비스 또는 모듈의 상태를 업데이트합니다.

아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.

  • RESOURCE_TYPE: 업데이트할 리소스의 유형(organization, folder, project)
  • RESOURCE_ID: 업데이트할 조직, 폴더 또는 프로젝트의 숫자 식별자. 프로젝트의 경우 영숫자 프로젝트 ID를 사용할 수도 있습니다.
  • NEW_STATE: VM Threat Detection을 사용 설정하려면 ENABLED, VM Threat Detection을 사용 중지하려면 DISABLED, 상위 리소스의 사용 설정 상태를 상속하려면 INHERITED(프로젝트 및 폴더에만 유효)

gcloud scc manage services update 명령어를 실행합니다.

Linux, macOS 또는 Cloud Shell

gcloud scc manage services update vm-threat-detection \
    --RESOURCE_TYPE=RESOURCE_ID \
    --enablement-state=NEW_STATE

Windows(PowerShell)

gcloud scc manage services update vm-threat-detection `
    --RESOURCE_TYPE=RESOURCE_ID `
    --enablement-state=NEW_STATE

Windows(cmd.exe)

gcloud scc manage services update vm-threat-detection ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --enablement-state=NEW_STATE

다음과 비슷한 응답이 표시됩니다.

effectiveEnablementState: ENABLED
modules:
  CRYPTOMINING_HASH:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CRYPTOMINING_YARA:
    effectiveEnablementState: ENABLED
  KERNEL_INTEGRITY_TAMPERING:
    effectiveEnablementState: ENABLED
  KERNEL_MEMORY_TAMPERING:
    effectiveEnablementState: ENABLED
  MALWARE_DISK_SCAN_YARA:
    effectiveEnablementState: ENABLED
name: projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection
updateTime: '2024-08-05T22:32:01.536452397Z'

REST

Security Command Center Management API의 RESOURCE_TYPE.locations.securityCenterServices.patch 메서드는 Security Command Center 서비스 또는 모듈의 상태를 업데이트합니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.

  • RESOURCE_TYPE: 업데이트할 리소스의 유형(organizations, folders, projects)
  • QUOTA_PROJECT: 결제 및 할당량 추적에 사용할 프로젝트 ID입니다.
  • RESOURCE_ID: 업데이트할 조직, 폴더 또는 프로젝트의 숫자 식별자. 프로젝트의 경우 영숫자 프로젝트 ID를 사용할 수도 있습니다.
  • NEW_STATE: VM Threat Detection을 사용 설정하려면 ENABLED, VM Threat Detection을 사용 중지하려면 DISABLED, 상위 리소스의 사용 설정 상태를 상속하려면 INHERITED(프로젝트 및 폴더에만 유효)

HTTP 메서드 및 URL:

PATCH https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/vm-threat-detection?updateMask=intendedEnablementState

JSON 요청 본문:

{
  "intendedEnablementState": "NEW_STATE"
}

요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

다음과 비슷한 JSON 응답이 표시됩니다.

{
  "name": "projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "CRYPTOMINING_YARA": {
      "effectiveEnablementState": "ENABLED"
    },
    "KERNEL_MEMORY_TAMPERING": {
      "effectiveEnablementState": "ENABLED"
    },
    "KERNEL_INTEGRITY_TAMPERING": {
      "effectiveEnablementState": "ENABLED"
    },
    "CRYPTOMINING_HASH": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "MALWARE_DISK_SCAN_YARA": {
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2024-08-05T22:32:01.536452397Z"
}

VM Threat Detection 모듈 사용 설정 또는 중지

모듈이라고도 하는 개별 VM Threat Detection 감지기를 사용 설정하거나 중지하려면 다음 안내를 따르세요. 변경사항이 적용되려면 최대 1시간이 소요될 수 있습니다.

모든 VM Threat Detection 위협 발견 항목 및 이를 생성하는 모듈에 대한 자세한 내용은 위협 발견 항목을 참조하세요.

콘솔

Google Cloud 콘솔을 사용하면 조직 수준에서 VM Threat Detection 모듈을 사용 설정하거나 중지할 수 있습니다. 폴더 또는 프로젝트 수준에서 VM Threat Detection 모듈을 사용 설정하거나 사용 중지하려면 gcloud CLI 또는 REST API를 사용하세요.

  1. Google Cloud 콘솔에서 Virtual Machine Threat Detection 모듈 페이지로 이동합니다.

    모듈로 이동

  2. 상태 열에서 사용 설정 또는 사용 중지하려는 모듈의 현재 상태를 선택한 다음 다음 중 하나를 선택합니다.

    • 사용 설정: 모듈을 사용 설정합니다.
    • 사용 중지: 모듈을 사용 중지합니다.

gcloud

gcloud scc manage services update 명령어는 Security Command Center 서비스 또는 모듈의 상태를 업데이트합니다.

아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.

  • RESOURCE_TYPE: 업데이트할 리소스의 유형(organization, folder, project)
  • RESOURCE_ID: 업데이트할 조직, 폴더 또는 프로젝트의 숫자 식별자. 프로젝트의 경우 영숫자 프로젝트 ID를 사용할 수도 있습니다.
  • MODULE_NAME: 사용 설정하거나 중지할 모듈의 이름. 유효한 값은 위협 발견 항목을 참고하세요.
  • NEW_STATE: 모듈을 사용 설정하려면 ENABLED, 모듈을 사용 중지하려면 DISABLED, 상위 리소스의 사용 설정 상태를 상속하려면 INHERITED(프로젝트 및 폴더에만 유효)

다음 콘텐츠를 request.json 파일에 저장합니다.

{
  "MODULE_NAME": {
    "intendedEnablementState": "NEW_STATE"
  }
}

gcloud scc manage services update 명령어를 실행합니다.

Linux, macOS 또는 Cloud Shell

gcloud scc manage services update vm-threat-detection \
    --RESOURCE_TYPE=RESOURCE_ID \
    --enablement-state=ENABLED \  
    --module-config-file=request.json

Windows(PowerShell)

gcloud scc manage services update vm-threat-detection `
    --RESOURCE_TYPE=RESOURCE_ID `
    --enablement-state=ENABLED \  
    --module-config-file=request.json

Windows(cmd.exe)

gcloud scc manage services update vm-threat-detection ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --enablement-state=ENABLED \  
    --module-config-file=request.json

다음과 비슷한 응답이 표시됩니다.

effectiveEnablementState: ENABLED
modules:
  CRYPTOMINING_HASH:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CRYPTOMINING_YARA:
    effectiveEnablementState: ENABLED
  KERNEL_INTEGRITY_TAMPERING:
    effectiveEnablementState: ENABLED
  KERNEL_MEMORY_TAMPERING:
    effectiveEnablementState: ENABLED
  MALWARE_DISK_SCAN_YARA:
    effectiveEnablementState: ENABLED
name: projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection
updateTime: '2024-08-05T22:32:01.536452397Z'

REST

Security Command Center Management API의 RESOURCE_TYPE.locations.securityCenterServices.patch 메서드는 Security Command Center 서비스 또는 모듈의 상태를 업데이트합니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.

  • RESOURCE_TYPE: 업데이트할 리소스의 유형(organizations, folders, projects)
  • QUOTA_PROJECT: 결제 및 할당량 추적에 사용할 프로젝트 ID입니다.
  • RESOURCE_ID: 업데이트할 조직, 폴더 또는 프로젝트의 숫자 식별자. 프로젝트의 경우 영숫자 프로젝트 ID를 사용할 수도 있습니다.
  • MODULE_NAME: 사용 설정하거나 중지할 모듈의 이름. 유효한 값은 위협 발견 항목을 참고하세요.
  • NEW_STATE: 모듈을 사용 설정하려면 ENABLED, 모듈을 사용 중지하려면 DISABLED, 상위 리소스의 사용 설정 상태를 상속하려면 INHERITED(프로젝트 및 폴더에만 유효)

HTTP 메서드 및 URL:

PATCH https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/vm-threat-detection?updateMask=modules

JSON 요청 본문:

{
  "modules": {
    "MODULE_NAME": {
      "intendedEnablementState": "NEW_STATE"
    }
  }
}

요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

다음과 비슷한 JSON 응답이 표시됩니다.

{
  "name": "projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "CRYPTOMINING_YARA": {
      "effectiveEnablementState": "ENABLED"
    },
    "KERNEL_MEMORY_TAMPERING": {
      "effectiveEnablementState": "ENABLED"
    },
    "KERNEL_INTEGRITY_TAMPERING": {
      "effectiveEnablementState": "ENABLED"
    },
    "CRYPTOMINING_HASH": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "MALWARE_DISK_SCAN_YARA": {
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2024-08-05T22:32:01.536452397Z"
}

VM Threat Detection 모듈의 설정 보기

모든 VM Threat Detection 위협 발견 항목 및 이를 생성하는 모듈에 대한 자세한 내용은 위협 발견 항목 표를 참조하세요.

콘솔

Google Cloud 콘솔을 사용하면 조직 수준에서 VM Threat Detection 모듈의 설정을 볼 수 있습니다. 폴더 또는 프로젝트 수준에서 VM Threat Detection 모듈의 설정을 보려면 gcloud CLI 또는 REST API를 사용하세요.

Google Cloud 콘솔에서 설정을 보려면 Virtual Machine Threat Detection 모듈 페이지로 이동합니다.

모듈로 이동

gcloud

gcloud scc manage services update 명령어는 Security Command Center 서비스 또는 모듈의 상태를 가져옵니다.

아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.

  • RESOURCE_TYPE: 가져올 리소스의 유형(organizations, folders, projects)
  • QUOTA_PROJECT: 결제 및 할당량 추적에 사용할 프로젝트 ID입니다.
  • RESOURCE_ID: 가져올 조직, 폴더 또는 프로젝트의 숫자 식별자. 프로젝트의 경우 영숫자 프로젝트 ID를 사용할 수도 있습니다.

다음 콘텐츠를 request.json 파일에 저장합니다.

{
  "MODULE_NAME": {
    "intendedEnablementState": "NEW_STATE"
  }
}

gcloud scc manage services update 명령어를 실행합니다.

Linux, macOS 또는 Cloud Shell

gcloud scc manage services update vm-threat-detection \
    --RESOURCE_TYPE=RESOURCE_ID

Windows(PowerShell)

gcloud scc manage services update vm-threat-detection `
    --RESOURCE_TYPE=RESOURCE_ID

Windows(cmd.exe)

gcloud scc manage services update vm-threat-detection ^
    --RESOURCE_TYPE=RESOURCE_ID

다음과 비슷한 응답이 표시됩니다.

effectiveEnablementState: ENABLED
modules:
  CRYPTOMINING_HASH:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CRYPTOMINING_YARA:
    effectiveEnablementState: ENABLED
  KERNEL_INTEGRITY_TAMPERING:
    effectiveEnablementState: ENABLED
  KERNEL_MEMORY_TAMPERING:
    effectiveEnablementState: ENABLED
  MALWARE_DISK_SCAN_YARA:
    effectiveEnablementState: ENABLED
name: projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection
updateTime: '2024-08-05T22:32:01.536452397Z'

REST

Security Command Center Management API의 RESOURCE_TYPE.locations.securityCenterServices.get 메서드는 Security Command Center 서비스 또는 모듈의 상태를 가져옵니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.

  • RESOURCE_TYPE: 가져올 리소스의 유형(organizations, folders, projects)
  • QUOTA_PROJECT: 결제 및 할당량 추적에 사용할 프로젝트 ID입니다.
  • RESOURCE_ID: 가져올 조직, 폴더 또는 프로젝트의 숫자 식별자. 프로젝트의 경우 영숫자 프로젝트 ID를 사용할 수도 있습니다.

HTTP 메서드 및 URL:

GET https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/vm-threat-detection

요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

다음과 비슷한 JSON 응답이 표시됩니다.

{
  "name": "projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "CRYPTOMINING_YARA": {
      "effectiveEnablementState": "ENABLED"
    },
    "KERNEL_MEMORY_TAMPERING": {
      "effectiveEnablementState": "ENABLED"
    },
    "KERNEL_INTEGRITY_TAMPERING": {
      "effectiveEnablementState": "ENABLED"
    },
    "CRYPTOMINING_HASH": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "MALWARE_DISK_SCAN_YARA": {
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2024-08-05T22:32:01.536452397Z"
}

암호화폐 채굴 감지를 위한 소프트웨어 이름 및 YARA 규칙

다음 목록에는 암호화폐 채굴 발견 항목을 트리거하는 바이너리 및 YARA 규칙의 이름이 포함됩니다. 목록을 보려면 노드를 펼칩니다.

Execution: Cryptocurrency Mining Hash Match

  • Arionum CPU 마이너: Arionum 암호화폐용 채굴 소프트웨어
  • Avermore: scrypt 기반 암호화폐용 채굴 소프트웨어
  • Beam CUDA 마이너: Equihash 기반 암호화폐용 채굴 소프트웨어
  • Beam OpenCL 마이너: Equihash 기반 암호화폐용 채굴 소프트웨어
  • BFGMiner: ASIC/FPGA 기반 비트코인용 채굴 소프트웨어
  • BMiner: 다양한 암호화폐용 채굴 소프트웨어
  • Cast XMR: CryptoNight 기반 암호화폐용 채굴 소프트웨어
  • ccminer: CUDA 기반 채굴 소프트웨어
  • cgminer: ASIC/FPGA 기반 비트코인용 채굴 소프트웨어
  • Claymore의 마이너: 다양한 암호화폐용 GPU 기반 채굴 소프트웨어
  • CPUMiner: CPU 기반 채굴 소프트웨어 제품군
  • CryptoDredge: CryptoDredge용 채굴 소프트웨어 제품군
  • CryptoGoblin: CryptoNight 기반 암호화폐용 채굴 소프트웨어
  • DamoMiner: Ethereum 및 기타 암호화폐를 위한 GPU 기반 채굴 소프트웨어
  • DigitsMiner: Digits용 채굴 소프트웨어
  • EasyMiner: 비트코인 및 기타 암호화폐용 채굴 소프트웨어
  • Ethminer: Ethereum 및 기타 암호화폐용 채굴 소프트웨어
  • EWBF: Equihash 기반 암호화폐용 채굴 소프트웨어
  • FinMiner: Ethash 및 CryptoNight 기반 암호화폐용 채굴 소프트웨어
  • Funakoshi 마이너: 비트코인-골드 암호화폐용 채굴 소프트웨어
  • Geth: Ethereum용 채굴 소프트웨어
  • GMiner: 다양한 암호화폐용 채굴 소프트웨어
  • gogoer: Decred용 채굴 소프트웨어
  • GrinGoldMiner: Grin용 채굴 소프트웨어
  • Hush: Zcash 기반 암호화폐용 채굴 소프트웨어
  • IxiMiner: Ixian용 채굴 소프트웨어
  • kawpowminer: Ravencoin용 채굴 소프트웨어
  • Komodo: Komodo용 채굴 소프트웨어 제품군
  • lolMiner: 다양한 암호화폐용 채굴 소프트웨어
  • lukMiner: 다양한 암호화폐용 채굴 소프트웨어
  • MinerGate: 다양한 암호화폐용 채굴 소프트웨어
  • miniZ: Equihash 기반 암호화폐용 채굴 소프트웨어
  • Mirai: 암호화폐를 채굴하는 데 사용할 수 있는 멀웨어
  • MultiMiner: 다양한 암호화폐용 채굴 소프트웨어
  • nanominer: 다양한 암호화폐용 채굴 소프트웨어
  • NBMiner: 다양한 암호화폐용 채굴 소프트웨어
  • Nevermore: 다양한 암호화폐용 채굴 소프트웨어
  • nheqminer: NiceHash용 채굴 소프트웨어
  • NinjaRig: Argon2 기반 암호화폐용 채굴 소프트웨어
  • NodeCore PoW CUDA Miner: VeriBlock용 채굴 소프트웨어
  • NoncerPro: Nimiq용 채굴 소프트웨어
  • Optiminer/Equihash: Equihash 기반 암호화폐용 채굴 소프트웨어
  • PascalCoin: PascalCoin용 채굴 소프트웨어 제품군
  • PhoenixMiner: Ethereum용 채굴 소프트웨어
  • Pooler CPU Miner: Litecoin 및 비트코인용 채굴 소프트웨어
  • ProgPoW Miner: Ethereum 및 기타 암호화폐용 채굴 소프트웨어
  • rhminer: PascalCoin용 채굴 소프트웨어
  • sgminer: scrypt 기반 암호화폐용 채굴 소프트웨어
  • simplecoin: scrypt 기반 SimpleCoin용 채굴 소프트웨어 제품군
  • Skypool Nimiq Miner: Nimiq용 채굴 소프트웨어
  • SwapReferenceMiner: Grin용 채굴 소프트웨어
  • Team Red Miner: 다양한 암호화폐용 AMD 기반 채굴 소프트웨어
  • T-Rex: 다양한 암호화폐용 채굴 소프트웨어
  • TT-Miner: 다양한 암호화폐용 채굴 소프트웨어
  • Ubqminer: Ubqhash 기반 암호화폐용 채굴 소프트웨어
  • VersusCoin: VersusCoin용 채굴 소프트웨어
  • violetminer: Argon2 기반 암호화폐요 채굴 소프트웨어
  • webchain-miner: MintMe용 채굴 소프트웨어
  • WildRig: 다양한 암호화폐용 채굴 소프트웨어
  • XCASH_ALL_Miner: XCASH용 채굴 소프트웨어
  • xFash: MinerGate용 채굴 소프트웨어
  • XLArig: CryptoNight 기반 암호화폐용 채굴 소프트웨어
  • XMRig: 다양한 암호화폐용 채굴 소프트웨어
  • Xmr-Stak: CryptoNight 기반 암호화폐용 채굴 소프트웨어
  • XMR-Stak TurtleCoin: CryptoNight 기반 암호화폐용 채굴 소프트웨어
  • Xtl-Stak: CryptoNight 기반 암호화폐용 채굴 소프트웨어
  • Yam Miner: MinerGate용 채굴 소프트웨어
  • YCash: YCash용 채굴 소프트웨어
  • ZCoin: ZCoin/Fire용 채굴 소프트웨어
  • Zealot/Enemy: 다양한 암호화폐용 채굴 소프트웨어
  • 암호화폐 채굴 신호1

1 이 일반적인 위협 이름은 알 수 없는 암호화폐 채굴자가 VM에서 작동할 수 있지만 VM Threat Detection에 채굴자에 대한 특정 정보가 없음을 나타냅니다.

Execution: Cryptocurrency Mining YARA Rule

  • YARA_RULE1: Monero의 채굴 소프트웨어와 일치
  • YARA_RULE9: Blake2 및 AES 암호화를 사용하는 채굴 소프트웨어와 일치
  • YARA_RULE10: CryptoNight 작업 증명 루틴을 사용하는 채굴 소프트웨어와 일치
  • YARA_RULE15: NBMiner의 채굴 소프트웨어와 일치
  • YARA_RULE17: Scrypt 작업 증명 루틴을 사용하는 채굴 소프트웨어와 일치
  • YARA_RULE18: Scrypt 작업 증명 루틴을 사용하는 채굴 소프트웨어와 일치
  • YARA_RULE19: BFGMiner용 채굴 소프트웨어와 일치
  • YARA_RULE24: XMR-Stak용 채굴 소프트웨어와 일치
  • YARA_RULE25: XMRig용 채굴 소프트웨어와 일치
  • DYNAMIC_YARA_RULE_BFGMINER_2: BFGMiner용 채굴 소프트웨어와 일치

다음 단계