Ringkasan Virtual Machine Threat Detection

Halaman ini memberikan ringkasan Virtual Machine Threat Detection.

Ringkasan

Virtual Machine Threat Detection adalah layanan bawaan Security Command Center. Layanan ini memindai virtual machine untuk mendeteksi aplikasi yang berpotensi berbahaya, seperti software penambangan mata uang kripto, rootkit mode kernel, dan malware yang berjalan di lingkungan cloud yang disusupi.

VM Threat Detection adalah bagian dari rangkaian deteksi ancaman Security Command Center dan dirancang untuk melengkapi kemampuan Event Threat Detection dan Container Threat Detection yang ada.

Temuan VM Threat Detection adalah ancaman tingkat keparahan tinggi yang sebaiknya segera Anda perbaiki. Anda dapat melihat temuan VM Threat Detection di Security Command Center.

Untuk organisasi yang terdaftar di Security Command Center Premium, pemindaian VM Threat Detection akan otomatis diaktifkan. Jika diperlukan, Anda dapat menonaktifkan layanan atau mengaktifkan layanan di tingkat project. Untuk mengetahui informasi selengkapnya, lihat Mengaktifkan atau menonaktifkan VM Threat Detection.

Cara kerja VM Threat Detection

VM Threat Detection adalah layanan terkelola yang memindai project Compute Engine dan instance virtual machine (VM) yang diaktifkan untuk mendeteksi aplikasi yang berpotensi berbahaya yang berjalan di VM, seperti software penambangan mata uang kripto dan rootkit mode kernel.

Gambar berikut adalah ilustrasi sederhana yang menunjukkan cara mesin analisis VM Threat Detection menyerap metadata dari memori tamu VM dan menulis temuan ke Security Command Center.

Jalur data yang disederhanakan untuk Virtual Machine Threat Detection
Jalur data yang disederhanakan untuk Virtual Machine Threat Detection

VM Threat Detection dibangun ke dalam Google Cloud's hypervisor, platform aman yang membuat dan mengelola semua VM Compute Engine.

VM Threat Detection secara berkala melakukan pemindaian dari hypervisor ke memori VM tamu yang berjalan tanpa menjeda operasi tamu. Layanan ini juga secara berkala memindai clone disk. Karena layanan ini beroperasi dari luar instance VM tamu, layanan ini tidak memerlukan agen tamu atau konfigurasi khusus sistem operasi tamu, dan tahan terhadap tindakan balasan yang digunakan oleh malware canggih. Tidak ada siklus CPU yang digunakan di dalam VM tamu, dan konektivitas jaringan tidak diperlukan. Tim keamanan tidak perlu memperbarui tanda tangan atau mengelola layanan.

Cara kerja deteksi penambangan mata uang kripto

Didukung oleh Google Cloud's aturan deteksi ancaman, VM Threat Detection menganalisis informasi tentang software yang berjalan di VM, termasuk daftar nama aplikasi, penggunaan CPU per proses, hash halaman memori, penghitung performa hardware CPU, dan informasi tentang kode mesin yang dieksekusi untuk menentukan apakah ada aplikasi yang cocok dengan tanda tangan penambangan mata uang kripto yang diketahui. Jika memungkinkan, VM Threat Detection kemudian menentukan proses yang berjalan yang terkait dengan kecocokan tanda tangan yang terdeteksi dan menyertakan informasi tentang proses tersebut dalam temuan.

Cara kerja deteksi rootkit mode kernel

VM Threat Detection menyimpulkan jenis sistem operasi yang berjalan di VM dan menggunakan informasi tersebut untuk menentukan kode kernel, region data hanya baca, dan struktur data kernel lainnya dalam memori. VM Threat Detection menerapkan berbagai teknik untuk menentukan apakah region tersebut dirusak, dengan membandingkannya dengan hash yang telah dihitung sebelumnya yang diharapkan untuk image kernel dan memverifikasi integritas struktur data kernel yang penting.

Cara kerja deteksi malware

VM Threat Detection mengambil clone persistent disk VM Anda yang berumur pendek, tanpa mengganggu workload Anda, dan memindai clone disk. Layanan ini menganalisis file yang dapat dieksekusi di VM untuk menentukan apakah ada file yang cocok dengan tanda tangan malware yang diketahui. Temuan yang dihasilkan berisi informasi tentang file dan tanda tangan malware yang terdeteksi.

Fitur multicloud

Selain itu Google Cloud, deteksi malware juga tersedia untuk VM Amazon Elastic Compute Cloud (EC2).

Untuk memindai VM AWS, Anda harus menjadi pelanggan Security Command Center Enterprise dan Anda harus mengaktifkan VM Threat Detection untuk AWS terlebih dahulu.

Anda hanya dapat mengaktifkan fitur ini di tingkat organisasi. Selama pemindaian, VM Threat Detection menggunakan resource di dan di AWS. Google Cloud

Frekuensi pemindaian

Untuk pemindaian memori, VM Threat Detection memindai setiap instance VM segera setelah instance dibuat. Selain itu, VM Threat Detection memindai setiap instance VM setiap 30 menit.

  • Untuk deteksi penambangan mata uang kripto, VM Threat Detection menghasilkan satu temuan per proses, per VM, per hari. Setiap temuan hanya mencakup ancaman yang terkait dengan proses yang diidentifikasi oleh temuan tersebut. Jika VM Threat Detection menemukan ancaman tetapi tidak dapat mengaitkannya dengan proses apa pun, maka, untuk setiap VM, VM Threat Detection akan mengelompokkan semua ancaman yang tidak terkait ke dalam satu temuan yang dihasilkan sekali per periode 24 jam. Untuk ancaman yang bertahan lebih dari 24 jam, VM Threat Detection akan menghasilkan temuan baru sekali setiap 24 jam.
  • Untuk deteksi rootkit mode kernel, VM Threat Detection menghasilkan satu temuan per kategori, per VM, setiap tiga hari.

Untuk pemindaian persistent disk, yang mendeteksi keberadaan malware yang diketahui, VM Threat Detection memindai setiap instance VM setidaknya setiap hari.

Jika Anda mengaktifkan paket Premium Security Command Center, pemindaian VM Threat Detection akan otomatis diaktifkan. Jika diperlukan, Anda dapat menonaktifkan layanan dan/atau mengaktifkan layanan di tingkat project. Untuk mengetahui informasi selengkapnya, lihat Mengaktifkan atau menonaktifkan VM Threat Detection.

Temuan

Bagian ini menjelaskan temuan ancaman yang dihasilkan oleh VM Threat Detection.

VM Threat Detection memiliki deteksi ancaman berikut.

Temuan ancaman penambangan mata uang kripto

VM Threat Detection mendeteksi kategori temuan berikut melalui pencocokan hash atau aturan YARA.

Temuan ancaman penambangan mata uang kripto VM Threat Detection
Kategori Modul Deskripsi
CRYPTOMINING_HASH Mencocokkan hash memori program yang berjalan dengan hash memori software penambangan mata uang kripto yang diketahui. Temuan diklasifikasikan sebagai tingkat keparahan Tinggi secara default.
CRYPTOMINING_YARA Mencocokkan pola memori, seperti konstanta proof-of-work, yang diketahui digunakan oleh software penambangan mata uang kripto. Temuan diklasifikasikan sebagai tingkat keparahan Tinggi secara default.
  • CRYPTOMINING_HASH
  • CRYPTOMINING_YARA
Mengidentifikasi ancaman yang terdeteksi oleh modul CRYPTOMINING_HASH dan CRYPTOMINING_YARA. Untuk mengetahui informasi selengkapnya, lihat Deteksi gabungan. Temuan diklasifikasikan sebagai tingkat keparahan Tinggi secara default.

Temuan ancaman rootkit mode kernel

VM Threat Detection menganalisis integritas kernel saat runtime untuk mendeteksi teknik penghindaran umum yang digunakan oleh malware.

Modul KERNEL_MEMORY_TAMPERING mendeteksi ancaman dengan melakukan perbandingan hash pada kode kernel dan memori data hanya baca kernel dari virtual machine.

Modul KERNEL_INTEGRITY_TAMPERING mendeteksi ancaman dengan memeriksa integritas struktur data kernel yang penting.

Temuan ancaman rootkit mode kernel VM Threat Detection
Kategori Modul Deskripsi
Rootkit
  • KERNEL_MEMORY_TAMPERING
  • KERNEL_INTEGRITY_TAMPERING
Kombinasi sinyal yang cocok dengan rootkit mode kernel yang diketahui ada. Untuk menerima temuan kategori ini, pastikan kedua modul diaktifkan. Temuan diklasifikasikan sebagai tingkat keparahan Tinggi secara default.
Perusakan memori kernel
KERNEL_MEMORY_TAMPERING Modifikasi memori data hanya baca kernel yang tidak terduga ada. Temuan diklasifikasikan sebagai tingkat keparahan Tinggi secara default.
Perusakan integritas kernel
KERNEL_INTEGRITY_TAMPERING ftrace titik ada dengan callback yang mengarah ke region yang tidak berada dalam rentang kode kernel atau modul yang diharapkan. Temuan diklasifikasikan sebagai tingkat keparahan Tinggi secara default.
KERNEL_INTEGRITY_TAMPERING Interrupt handler yang tidak berada di region kode kernel atau modul yang diharapkan ada. Temuan diklasifikasikan sebagai tingkat keparahan Tinggi secara default.
KERNEL_INTEGRITY_TAMPERING Halaman kode kernel yang tidak berada di region kode kernel atau modul yang diharapkan ada. Temuan diklasifikasikan sebagai tingkat keparahan Tinggi secara default.
KERNEL_INTEGRITY_TAMPERING kprobe titik ada dengan callback yang mengarah ke region yang tidak berada dalam rentang kode kernel atau modul yang diharapkan. Temuan diklasifikasikan sebagai tingkat keparahan Tinggi secara default.
KERNEL_INTEGRITY_TAMPERING Proses yang tidak terduga di antrean proses penjadwal ada. Proses tersebut berada dalam antrean proses, tetapi tidak dalam daftar tugas proses. Temuan diklasifikasikan sebagai tingkat keparahan Tinggi secara default.
KERNEL_INTEGRITY_TAMPERING System call handler yang tidak berada di region kode kernel atau modul yang diharapkan ada. Temuan diklasifikasikan sebagai tingkat keparahan Tinggi secara default.

Temuan ancaman malware

VM Threat Detection mendeteksi kategori temuan berikut dengan memindai persistent disk VM untuk menemukan malware yang diketahui.

Temuan ancaman malware VM Threat Detection
Kategori Modul Deskripsi Penyedia cloud yang didukung
Malware: Malicious file on disk MALWARE_DISK_SCAN_YARA_AWS Memindai persistent disk di VM Amazon EC2 dan mencocokkan tanda tangan yang digunakan oleh malware yang diketahui. Temuan diklasifikasikan sebagai tingkat keparahan Sedang secara default. AWS
Malware: Malicious file on disk (YARA) MALWARE_DISK_SCAN_YARA Memindai persistent disk di VM Compute Engine dan mencocokkan tanda tangan yang digunakan oleh malware yang diketahui. Temuan diklasifikasikan sebagai tingkat keparahan Sedang secara default. Google Cloud

Memindai VM di perimeter Kontrol Layanan VPC

Sebelum VM Threat Detection dapat memindai VM di perimeter Kontrol Layanan VPC, Anda harus menambahkan aturan ingress dan egress di setiap perimeter yang ingin Anda pindai. Untuk mengetahui informasi selengkapnya, lihat Mengizinkan VM Threat Detection mengakses perimeter Kontrol Layanan VPC.

Batasan

VM Threat Detection mendukung instance VM Compute Engine , dengan batasan berikut:

  • Dukungan terbatas untuk VM Windows:

    • Untuk deteksi penambangan mata uang kripto, VM Threat Detection terutama berfokus pada biner Linux dan memiliki cakupan terbatas untuk penambang mata uang kripto yang berjalan di Windows.

    • Untuk deteksi rootkit mode kernel, VM Threat Detection hanya mendukung sistem operasi Linux.

  • Tidak ada dukungan untuk VM Compute Engine yang menggunakan Confidential VM. Instance Confidential VM menggunakan kriptografi untuk melindungi konten memori saat berpindah masuk dan keluar dari CPU. Oleh karena itu, VM Threat Detection tidak dapat memindainya.

  • Tidak ada dukungan untuk VM yang menggunakan prosesor berbasis Arm.

  • Batasan pemindaian disk:

  • VM Threat Detection memerlukan Security Center Service Agent untuk dapat mencantumkan VM di project dan meng-clone disk ke project milik Google. Beberapa batasan kebijakan organisasi —seperti constraints/compute.storageResourceUseRestrictions—dapat mengganggu operasi tersebut. Dalam hal ini, pemindaian VM Threat Detection mungkin tidak berfungsi.

  • VM Threat Detection mengandalkan kemampuan Google Cloud's hypervisor dan Compute Engine. Oleh karena itu, VM Threat Detection tidak dapat berjalan di lingkungan lokal atau di lingkungan cloud publik lainnya.

Privasi dan keamanan

VM Threat Detection mengakses clone disk dan memori VM yang berjalan untuk analisis. Layanan ini hanya menganalisis hal yang diperlukan untuk mendeteksi ancaman.

Konten memori VM dan clone disk digunakan sebagai input dalam pipeline analisis risiko VM Threat Detection. Data dienkripsi saat dalam pengiriman dan diproses oleh sistem otomatis. Selama pemrosesan, data dilindungi oleh Google Cloud's sistem kontrol keamanan.

Untuk tujuan pemantauan dan proses debug, VM Threat Detection menyimpan informasi diagnostik dan statistik dasar tentang project yang dilindungi oleh layanan.

VM Threat Detection memindai konten memori VM dan clone disk di region masing-masing. Namun, temuan dan metadata yang dihasilkan (seperti nomor project dan organisasi) mungkin disimpan di luar region tersebut.

Untuk mengetahui informasi selengkapnya tentang cara Security Command Center menangani data Anda, lihat Data dan infrastruktur keamanan ringkasan.

Langkah berikutnya