Esta página descreve como ver e gerenciar as descobertas da detecção de ameaças da VM. Ela também mostra como ativar ou desativar o serviço e os módulos dele.
Visão geral
A Detecção de ameaças a máquinas virtuais, um serviço integrado do Security Command Center Premium, detecta ameaças por meio de instrumentação no nível do hipervisor e análise disco permanente. A Detecção de ameaças à VM detecta aplicativos potencialmente maliciosos, como software de mineração de criptomoedas, rootkits no modo kernel e malware em execução em ambientes de nuvem comprometidos.
A VM Threat Detection faz parte do pacote de detecção de ameaças do Security Command Center Premium e foi projetada para complementar os recursos atuais do Event Threat Detection e do Container Threat Detection.
Para mais informações, consulte Visão geral sobre detecção de ameaças à VM.
Custos
Depois de se inscrever no Security Command Center Premium, não haverá custos extras para usar a VM Threat Detection.
Antes de começar
Para usar este recurso, você precisa se inscrever no Security Command Center Premium.
Além disso, você precisa de papéis adequados de gerenciamento de identidade e acesso (IAM) para visualizar ou editar descobertas e modificar recursos do Google Cloud. Se você encontrar erros de acesso no Security Command Center, peça ajuda ao administrador. Para saber mais sobre papéis, consulte Controle de acesso.
Testar a VM Threat Detection
Para testar a detecção de mineração de criptomoedas da Detecção de ameaças à VM, execute um aplicativo de mineração de criptomoedas na VM. Para conferir uma lista de nomes binários e regras YARA que acionam descobertas, consulte Nomes de software e regras YARA. Se você instalar e testar aplicativos de mineração, recomendamos executar apenas aplicativos em um ambiente de teste isolado, monitorar de perto o uso deles e removê-los completamente após o teste.
Para testar a detecção de malware da Detecção de ameaças à VM, faça o download dos aplicativos de malware na sua VM. Se você fizer o download de malware, recomendamos que faça isso em um ambiente de teste isolado e remova-o completamente após o teste.
Analisar descobertas no console do Google Cloud
Para analisar descobertas da detecção de ameaças à VM no console do Google Cloud, faça isto:
Acesse a página Descobertas do Security Command Center no Console do Google Cloud.
Se necessário, selecione o projeto ou a organização do Google Cloud.
Na seção Filtros rápidos, na subseção Nome de exibição da origem, selecione Detecção de ameaças a máquinas virtuais.
Se não vir Detecção de ameaças a máquinas virtuais, clique em Ver mais. Na caixa de diálogo, faça uma pesquisa por Detecção de ameaças a máquinas virtuais.
Para ver detalhes sobre uma descoberta específica, clique no nome da descoberta em Categoria. O painel de detalhes da descoberta é aberto e exibe a guia Resumo.
Na guia Resumo, revise as informações sobre a descoberta, incluindo informações sobre o binário detectado, o recurso afetado e muito mais.
No painel de detalhes, clique na guia JSON para ver o JSON completo da descoberta.
Para mais detalhes sobre como responder a cada descoberta da detecção de ameaças à VM, consulte Resposta da detecção de ameaças à VM.
Para uma lista de descobertas da detecção de ameaças da VM, consulte Descobertas.
Gravidade
As descobertas da Detecção de ameaças à VM são atribuídas à gravidade Alta, Média e Baixa com base na confiança da classificação de ameaças.
Detecções combinadas
As detecções combinadas ocorrem quando várias categorias de descobertas são detectadas em um dia. As descobertas podem ser causadas por um ou mais aplicativos maliciosos. Por exemplo, um único aplicativo pode acionar as descobertas de Execution: Cryptocurrency Mining YARA Rule e Execution: Cryptocurrency
Mining Hash Match simultaneamente. No entanto, todas as ameaças detectadas em uma única fonte na mesma hora são incluídas em uma descoberta de detecção combinada. Nos
dias seguintes, se mais ameaças forem encontradas, mesmo as mesmas, elas serão
anexadas a novas descobertas.
Para um exemplo de descoberta de detecção combinada, consulte Exemplos de formatos de descoberta.
Exemplos de formatos de descoberta
Estes exemplos de saída JSON contêm campos comuns às descobertas da VM Threat Detection. Cada exemplo mostra apenas os campos relevantes para o tipo de descoberta. Ele não fornece uma lista completa de campos.
É possível exportar as descobertas pelo painel do Security Command Center ou listar as descobertas usando a API Security Command Center.
Para ver exemplos de descobertas, expanda um ou mais dos seguintes nós. Para
informações sobre cada campo na descoberta, consulte
Finding.
Os valores de campo, como nomes de regras YARA, que a Detecção de ameaças à VM usa durante um pré-lançamento podem mudar quando o recurso atinge a disponibilidade geral.
Defense Evasion: RootkitPré-lançamento
Este exemplo de saída mostra uma descoberta de um rootkit conhecido no modo kernel: diamorfina.
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Rootkit",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {
"name": "Diamorphine",
"unexpected_kernel_code_pages": true,
"unexpected_system_call_handler": true
},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "HIGH",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Defense Evasion: Unexpected ftrace handlerPré-lançamento
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Unexpected ftrace handler",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "MEDIUM",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Defense Evasion: Unexpected interrupt handlerPré-lançamento
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Unexpected interrupt handler",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "MEDIUM",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Defense Evasion: Unexpected kernel code modificationPré-lançamento
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Unexpected kernel code modification",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "MEDIUM",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Defense Evasion: Unexpected kernel modulesPré-lançamento
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Unexpected kernel modules",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "MEDIUM",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Defense Evasion: Unexpected kernel read-only data modificationPré-lançamento
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Unexpected kernel read-only data modification",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "MEDIUM",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Defense Evasion: Unexpected kprobe handlerPré-lançamento
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Unexpected kprobe handler",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "MEDIUM",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Defense Evasion: Unexpected processes in runqueuePré-lançamento
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Unexpected processes in runqueue",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "MEDIUM",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Defense Evasion: Unexpected system call handlerPré-lançamento
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Defense Evasion: Unexpected system call handler",
"createTime": "2023-01-12T00:39:33.007Z",
"database": {},
"eventTime": "2023-01-11T21:24:05.326Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "MEDIUM",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"project_display_name": "PROJECT_ID",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Execution: Cryptocurrency Mining Combined
Detection
Este exemplo de saída mostra uma ameaça que foi detectada pelos
módulos CRYPTOMINING_HASH e CRYPTOMINING_YARA.
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Execution: Cryptocurrency Mining Combined Detection",
"createTime": "2023-01-05T01:40:48.994Z",
"database": {},
"eventTime": "2023-01-05T01:39:36.876Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {
"signatures": [
{
"yaraRuleSignature": {
"yaraRule": "YARA_RULE1"
}
},
{
"yaraRuleSignature": {
"yaraRule": "YARA_RULE9"
}
},
{
"yaraRuleSignature": {
"yaraRule": "YARA_RULE10"
}
},
{
"yaraRuleSignature": {
"yaraRule": "YARA_RULE25"
}
},
{
"memoryHashSignature": {
"binaryFamily": "XMRig",
"detections": [
{
"binary": "linux-x86-64_xmrig_6.12.2",
"percentPagesMatched": 1
}
]
}
}
]
},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [
{
"binary": {
"path": "BINARY_PATH"
},
"script": {},
"args": [
"./miner",
""
],
"pid": "123",
"parentPid": "456",
"name": "miner"
}
],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "HIGH",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"project_display_name": "DISPLAY_NAME",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Execution: Cryptocurrency Mining Hash Match
Detection
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Execution: Cryptocurrency Mining Hash Match",
"createTime": "2023-01-05T01:40:48.994Z",
"database": {},
"eventTime": "2023-01-05T01:39:36.876Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {
"signatures": [
{
"memoryHashSignature": {
"binaryFamily": "XMRig",
"detections": [
{
"binary": "linux-x86-64_xmrig_6.12.2",
"percentPagesMatched": 1
}
]
}
}
]
},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [
{
"binary": {
"path": "BINARY_PATH"
},
"script": {},
"args": [
"./miner",
""
],
"pid": "123",
"parentPid": "456",
"name": "miner"
}
],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "HIGH",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"project_display_name": "DISPLAY_NAME",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Execution: Cryptocurrency Mining YARA Rule
{
"findings": {
"access": {},
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Execution: Cryptocurrency Mining YARA Rule",
"createTime": "2023-01-05T00:37:38.450Z",
"database": {},
"eventTime": "2023-01-05T01:12:48.828Z",
"exfiltration": {},
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {
"signatures": [
{
"yaraRuleSignature": {
"yaraRule": "YARA_RULE9"
}
},
{
"yaraRuleSignature": {
"yaraRule": "YARA_RULE10"
}
},
{
"yaraRuleSignature": {
"yaraRule": "YARA_RULE25"
}
}
]
},
"kernelRootkit": {},
"kubernetes": {},
"mitreAttack": {
"version": "9"
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"processes": [
{
"binary": {
"path": "BINARY_PATH"
},
"script": {},
"args": [
"./miner",
""
],
"pid": "123",
"parentPid": "456",
"name": "miner"
}
],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "HIGH",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"project_display_name": "DISPLAY_NAME",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Malware: Malicious file on disk (YARA)Pré-lançamento
{
"findings": {
"assetDisplayName": "DISPLAY_NAME",
"assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
"canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",
"category": "Malware: Malicious file on disk (YARA)",
"createTime": "2023-01-05T00:37:38.450Z",
"eventTime": "2023-01-05T01:12:48.828Z",
"findingClass": "THREAT",
"findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
"indicator": {
"signatures": [
{
"yaraRuleSignature": {
"yaraRule": "M_Backdoor_REDSONJA_1"
},
"signatureType": "SIGNATURE_TYPE_FILE",
},
{
"yaraRuleSignature": {
"yaraRule": "M_Backdoor_REDSONJA_2"
},
"signatureType": "SIGNATURE_TYPE_FILE",
}
]
},
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"parentDisplayName": "Virtual Machine Threat Detection",
"files": [
{
"diskPath": {
"partition_uuid": "b411dc99-f0a0-4c87-9e05-184977be8539",
"relative_path": "RELATIVE_PATH"
},
"size": "21238",
"sha256": "65d860160bdc9b98abf72407e14ca40b609417de7939897d3b58d55787aaef69",
"hashedSize": "21238"
}
],
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"severity": "HIGH",
"sourceDisplayName": "Virtual Machine Threat Detection",
"state": "ACTIVE",
"vulnerability": {},
"workflowState": "NEW"
},
"resource": {
"name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
"display_name": "DISPLAY_NAME",
"project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"project_display_name": "DISPLAY_NAME",
"parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"parent_display_name": "DISPLAY_NAME",
"type": "google.compute.Instance",
"folders": []
},
"sourceProperties": {}
}
Alterar o estado das descobertas
Quando você resolve ameaças identificadas pela VM Threat Detection, o serviço não define automaticamente o estado de uma descoberta como Inativo nas verificações subsequentes. Devido à natureza do nosso domínio de ameaça, a VM Threat Detection não pode determinar se uma ameaça é reduzida ou se foi alterada para evitar a detecção.
Quando suas equipes de segurança estiverem satisfeitas com a possibilidade de mitigar uma ameaça, poderão executar as seguintes etapas para alterar o estado das descobertas para "inativa".
Acesse a página Descobertas do Security Command Center no console do Google Cloud.
Ao lado de Visualizar por, clique em Tipo de fonte.
Na lista Source type, selecione Detecção de ameaças a máquinas virtuais. Uma tabela será preenchida com as descobertas para o tipo de origem selecionado.
Marque a caixa de seleção ao lado das descobertas resolvidas.
Clique em Alterar o estado ativo.
Clique em Inativa.
Ativar ou desativar a detecção de ameaças da VM
O VM Threat Detection é ativado por padrão para todos os clientes que se inscrevem no Security Command Center Premium após 15 de julho de 2022, quando esse serviço foi disponibilizado para todos os usuários. Se necessário, desative ou reative-a manualmente no projeto ou na organização.
Quando você ativa a VM Threat Detection em uma organização ou projeto, o serviço verifica automaticamente todos os recursos compatíveis nessa organização ou projeto. Por outro lado, quando você desativa a detecção de ameaças da VM em uma organização ou projeto, o serviço para de verificar todos os recursos compatíveis.
Para ativar ou desativar a detecção de ameaças da VM, faça o seguinte:
Console
No Console do Google Cloud, é possível ativar ou desativar o VM Threat Detection por meio da guia Serviços na página Configurações.
Para mais informações, consulte Ativar ou desativar um serviço integrado.
cURL
envie uma solicitação PATCH:
curl -X PATCH -H "Authorization: Bearer \"$(gcloud auth print-access-token)\"" \
-H "Content-Type: application/json; charset=utf-8" \
-H "X-Goog-User-Project: X_GOOG_USER_PROJECT" \
https://securitycenter.googleapis.com/v1beta2/RESOURCE/RESOURCE_ID/virtualMachineThreatDetectionSettings \
-d '{"serviceEnablementState": "NEW_STATE"}'
Substitua:
- X_GOOG_USER_PROJECT: o projeto a cobrar pelas taxas de acesso associadas às verificações da VM Threat Detection.
- RESOURCE: o tipo de recurso a ser verificado (
organizationsouprojects). - RESOURCE_ID: o identificador da organização ou do projeto em que você quer ativar ou desativar a detecção de ameaças da VM.
- NEW_STATE: o estado em que você quer que a detecção de ameaças da VM esteja (
ENABLEDouDISABLED).
gcloud
Execute este comando:
gcloud alpha scc settings services ACTION --RESOURCE RESOURCE_ID \
--service VIRTUAL_MACHINE_THREAT_DETECTION
Substitua:
- ACTION: a ação que você quer realizar no serviço VM Threat Detection (
enableoudisable). - RESOURCE: o tipo de recurso em que você quer ativar ou desativar a
VM Threat Detection (
organizationouproject). - RESOURCE_ID: o identificador da organização ou do projeto em que você quer ativar ou desativar a detecção de ameaças da VM.
Ativar ou desativar um módulo de detecção de ameaças da VM
Para ativar ou desativar um detector de detecção de ameaças da VM individual, também conhecido como módulo, faça o seguinte. As alterações podem levar até uma hora para entrar em vigor.
Para mais informações sobre todas as descobertas de ameaças da detecção de ameaças da VM e os módulos que as geram, consulte a tabela Descobertas de ameaças.
Console
Consulte Ativar ou desativar um módulo.
cURL
Para ativar ou desativar um módulo de detecção de ameaças da VM na sua organização ou
projeto, envie uma solicitação PATCH:
curl -X PATCH -H "Authorization: Bearer \"$(gcloud auth print-access-token)\"" \
-H "Content-Type: application/json; charset=utf-8" \
-H "X-Goog-User-Project: X_GOOG_USER_PROJECT" \
https://securitycenter.googleapis.com/v1beta2/RESOURCE/RESOURCE_ID/virtualMachineThreatDetectionSettings \
-d '{"modules": {"MODULE": {"module_enablement_state": "NEW_STATE"}}}'
Substitua:
- X_GOOG_USER_PROJECT: o projeto que está sendo cobrado pelas cobranças de acesso associadas às verificações da VM Threat Detection.
- RESOURCE: o tipo de recurso em que você quer ativar ou desativar o
módulo (
organizationsouprojects). - RESOURCE_ID: ID da organização ou projeto em que você quer ativar ou desativar o módulo.
- MODULE: o módulo que você quer ativar ou desativar, por
exemplo,
CRYPTOMINING_HASH. - NEW_STATE: o estado desejado do módulo (
ENABLEDouDISABLED).
gcloud
Para ativar ou desativar um módulo de detecção de ameaças da VM na sua organização ou projeto, execute o seguinte comando:
gcloud alpha scc settings services modules ACTION --RESOURCE RESOURCE_ID \
--service VIRTUAL_MACHINE_THREAT_DETECTION --module MODULE
Substitua:
- ACTION: a ação que você quer realizar no módulo (
enableoudisable). - RESOURCE: o tipo de recurso em que você quer ativar ou desativar o
módulo (
organizationouproject). - RESOURCE_ID: ID da organização ou projeto em que você quer ativar ou desativar o módulo.
- MODULE: o módulo que você quer ativar ou desativar, por
exemplo,
CRYPTOMINING_HASH.
Ver as configurações dos módulos do VM Threat Detection
Para mais informações sobre todas as descobertas de ameaças da detecção de ameaças da VM e os módulos que as geram, consulte a tabela Descobertas de ameaças.
Console
Consulte Visualizar os módulos de um serviço.
cURL
envie uma solicitação GET:
curl -X GET -H "Authorization: Bearer \"$(gcloud auth print-access-token)\"" \
-H "Content-Type: application/json; charset=utf-8" \
-H "X-Goog-User-Project: X_GOOG_USER_PROJECT" \
https://securitycenter.googleapis.com/v1beta2/RESOURCE/RESOURCE_ID/virtualMachineThreatDetectionSettings:calculate
Substitua:
- X_GOOG_USER_PROJECT: o projeto que está sendo cobrado pelas cobranças de acesso associadas às verificações da VM Threat Detection.
- RESOURCE: o tipo de recurso do qual você quer ver as configurações do módulo.
- RESOURCE_ID: ID da organização ou do projeto com as configurações do módulo que você quer ver.
gcloud
Para ver as configurações de um único módulo, execute o seguinte comando:
gcloud alpha scc settings services modules describe --RESOURCE RESOURCE_ID \
--service VIRTUAL_MACHINE_THREAT_DETECTION --module MODULE
Para ver as configurações de todos os módulos, execute o seguinte comando:
gcloud alpha scc settings services describe --RESOURCE RESOURCE_ID \
--service VIRTUAL_MACHINE_THREAT_DETECTION
Substitua:
- RESOURCE: o tipo de recurso do qual você quer ver as
configurações do módulo (
organizationouproject). - RESOURCE_ID: ID da organização ou do projeto com as configurações do módulo que você quer ver.
- MODULE: o módulo que você quer ver, por
exemplo,
CRYPTOMINING_HASH.
Nomes de software e regras YARA para detecção de mineração de criptomoedas
As listas a seguir incluem os nomes de binários e regras YARA que acionam as descobertas de mineração de criptomoedas. Para ver as listas, expanda os nós.
Execution: Cryptocurrency Mining Hash Match
- Arionum CPU miner: software de mineração para criptomoedas Arionum
- Avermore: software de mineração para criptomoedas baseadas em scrypt
- Beam CUDA miner: software de mineração para criptomoedas baseadas em Equihash
- Beam OpenCL miner: software de mineração para criptomoedas baseadas em Equihash
- BFGMiner: software de mineração baseado em ASIC/FPGA para o Bitcoin
- BMiner: software de mineração para várias criptomoedas
- Cast XMR: software de mineração para criptomoedas baseadas em CryptoNight
- ccminer: software de mineração baseado em CUDA
- cgminer: software de mineração baseado em ASIC/FPGA para o Bitcoin
- Claymore'm miner: software de mineração baseado em GPU para várias criptomoedas
- CPUMiner: família de software de mineração baseado em CPU
- CryptoDredge: família de software de mineração para CryptoDredge
- CryptoGoblin (em inglês): software de mineração para criptomoedas baseadas em CryptoNight
- DamoMiner: software de mineração baseado em GPU para Ethereum e outras criptomoedas
- DigitsMiner: software de mineração para Digits
- EasyMiner: software de mineração para Bitcoin e outras criptomoedas
- Ethminer: software de mineração para Ethereum e outras criptomoedas
- EWBF: software de mineração para criptomoedas baseadas em Equihash
- FinMiner: software de mineração para Ethash e criptomoedas baseadas em CryptoNight
- Funakoshi Miner: software de mineração para criptomoedas do Bitcoin-Gold (links em inglês)
- Geth: software de mineração para Ethereum
- GMiner: software de mineração para várias criptomoedas
- gominer: software de mineração para reduzido
- GrinGoldMiner: software de mineração para Grin
- Hush: software de mineração para criptomoedas baseadas em Zcash
- IxiMiner: software de mineração para Ixian
- kawpowminer: software de mineração para Ravencoin
- Komodo: família de software de mineração para Komodo
- lolMiner: software de mineração para várias criptomoedas
- lukMiner: software de mineração para várias criptomoedas
- MinerGate: software de mineração para várias criptomoedas
- miniZ: software de mineração para criptomoedas baseadas em Equihash
- Mirai: malware que pode ser usado para minerar criptomoedas
- MultiMiner: software de mineração para várias criptomoedas
- nanominer: software de mineração para várias criptomoedas
- NBMiner: software de mineração para várias criptomoedas
- Nevermore : software de mineração para várias criptomoedas
- nheqminer: software de mineração para NiceHash
- NinjaRig (link em inglês): software de mineração para criptomoedas baseadas em Argon2
- MinCore PoW CUDA Miner: software de mineração para VeriBlock
- NoncerPro: software de mineração para Nimiq
- Optiminer/Equihash: software de mineração para criptomoedas baseadas em Equihash
- PascalCoin: família de software de mineração para PascalCoin
- PhoenixMiner: software de mineração para Ethereum
- Pooler CPU Miner: software de mineração para Litecoin e Bitcoin
- ProgPoW Miner: software de mineração para Ethereum e outras criptomoedas (links em inglês)
- rhminer: software de mineração para PascalCoin
- sgminer: software de mineração para criptomoedas baseadas em scrypt
- simplescoin: família de software de mineração para SimpleCoin baseado em scrypt
- Skypool Nimiq Miner: software de mineração para Nimiq
- SwapReferenceMiner: software de mineração para Grin
- Team Red Miner: software de mineração baseado em AMD para várias criptomoedas
- T-Rex: software de mineração para várias criptomoedas
- TT-Miner: software de mineração para várias criptomoedas
- Ubqminer: software de mineração para criptomoedas baseadas em Ubqhash
- VersusCoin: software de mineração para VersusCoin
- violetminer (link em inglês): software de mineração para criptomoedas baseadas em Argon2
- webchain-miner: software de mineração para MintMe
- WildRig (em inglês): software de mineração para várias criptomoedas
- XCASH_ALL_Miner: software de mineração para XCASH (em inglês)
- xFash: software de mineração para MinerGate
- XLArig: software de mineração para criptomoedas baseadas em CryptoNight
- XMRig: software de mineração para várias criptomoedas
- Xmr-Stak: software de mineração para criptomoedas baseadas em CryptoNight
- XMR-Stak TurtleCoin (em inglês): software de mineração para criptomoedas baseadas em CryptoNight
- Xtl-Stak: software de mineração para criptomoedas baseadas em CryptoNight
- Yam Miner: software de mineração para MinerGate
- YCash: software de mineração para o YCash
- ZCoin: software de mineração para ZCoin/Fire
- Zealot/Enemy: software de mineração para várias criptomoedas
- Indicador de criptomoedas1
1 Esse nome de ameaça genérico indica que um minerador de criptomoedas desconhecido pode estar operando na VM, mas a detecção de ameaças de VM não tem informações específicas sobre o minerador.
Execution: Cryptocurrency Mining YARA Rule
- YARA_RULE1: corresponde a software de mineração para Monero.
- YARA_RULE9: corresponde a software de mineração que usa criptografia Blake2 e AES.
- YARA_RULE10: corresponde a software de mineração que usa a rotina de prova de trabalho da CryptoNight.
- YARA_RULE15: corresponde a software de mineração para NBMiner.
- YARA_RULE17: corresponde a software de mineração que usa a rotina de prova de trabalho Scrypt.
- YARA_RULE18: corresponde a software de mineração que usa a rotina de prova de trabalho da Scrypt.
- YARA_RULE19: corresponde a software de mineração para BFGMiner.
- YARA_RULE24: corresponde a software de mineração para XMR-Stak.
- YARA_RULE25: corresponde a software de mineração para XMRig.
- DYNAMIC_YARA_RULE_BFGMINER_2: corresponde ao software de mineração para BFGMiner.
A seguir
- Saiba mais sobre a VM Threat Detection.
- Saiba como investigar as descobertas da VM Threat Detection.