Auf dieser Seite erhalten Sie eine Übersicht über Virtual Machine Threat Detection.
Übersicht
Virtual Machine Threat Detection ist ein integrierter Dienst von Security Command Center. Dieser Dienst scannt virtuelle Maschinen, um potenziell schädliche Anwendungen wie Kryptowährung-Mining-Software, Kernel-Mode-Rootkits und Malware zu erkennen, die in manipulierten Cloud-Umgebungen ausgeführt werden.
VM Threat Detection ist Teil der Bedrohungserkennungs- Suite von Security Command Center und ergänzt die vorhandenen Funktionen von Event Threat Detection und Container Threat Detection.
VM Threat Detection-Ergebnisse stellen Bedrohungen mit hohem Schweregrad dar, die Sie sofort beheben müssen. VM Threat Detection-Ergebnisse können im Security Command Center abgerufen werden.
Für Organisationen, die für das Security Command Center Premium registriert sind, werden VM-Bedrohungserkennungsscans automatisch aktiviert. Bei Bedarf können Sie den Dienst deaktivieren oder auf Projektebene aktivieren. Weitere Informationen finden Sie unter VM Threat Detection aktivieren oder deaktivieren.
Funktionsweise von VM Threat Detection
VM Threat Detection ist ein verwalteter Dienst, der aktivierte Compute Engine-Projekte und VM-Instanzen scannt, um potenziell schädliche Anwendungen zu erkennen, die in VMs ausgeführt werden, z. B. Kryptowährung-Mining-Software und Kernel-Mode-Rootkits.
Folgende vereinfachte Abbildung zeigt, wie das Analysemodul von VM Threat Detection Metadaten aus dem VM-Gastspeicher aufnimmt und Ergebnisse in Security Command Center schreibt.
Die VM Threat Detection ist in den Hypervisor von Google Cloudeingebunden, eine sichere Plattform, die alle Compute Engine-VMs erstellt und verwaltet.
VM Threat Detection führt regelmäßig Scans vom Hypervisor in den Speicher einer laufenden Gast-VM aus, ohne die Aktivitäten des Gastes zu unterbrechen. Außerdem werden regelmäßig Laufwerksklone gescannt. Da dieser Dienst von außerhalb der Gast-VM-Instanz ausgeführt wird, erfordert er keine Gast-Agents oder spezielle Konfigurationen des Gastbetriebssystems und ist für die von ausgefeilter Malware benutzten Gegenmassnahmen unanfällig. Innerhalb der Gast-VM werden keine CPU-Zyklen verbraucht und eine Netzwerkverbindung ist nicht erforderlich. Sicherheitsteams müssen weder Signaturen aktualisieren noch den Dienst verwalten.
Funktionsweise der Erkennung von Kryptowährung-Mining
Auf der Grundlage der Bedrohungserkennungsregeln von Google Cloud's analysiert VM Threat Detection Informationen über auf VMs ausgeführte Software, einschließlich einer Liste an Anwendungs namen, der CPU-Auslastung pro Prozess, der Hashes der Speicherseiten, der CPU-Hardwareleistung zähler und Informationen zum ausgeführten Maschinencode, um festzustellen, ob eine Anwendung mit bekannten Kryptowährung-Mining-Signaturen übereinstimmt. Wenn möglich, ermittelt VM Threat Detection dann den laufenden Prozess, der mit den erkannten Signaturen übereinstimmt, und fügt Informationen zu diesem Prozess im Ergebnis hinzu.
Funktionsweise der Erkennung von Kernel-Mode-Rootkits
VM Threat Detection leitet den Typ des auf der VM ausgeführten Betriebssystems ab und verwendet diese Informationen, um den Kernel-Code, schreibgeschützte Datenbereiche und andere Kernel-Datenstrukturen im Speicher zu ermitteln. VM Threat Detection wendet verschiedene Techniken an, um festzustellen, ob diese Bereiche manipuliert wurden. Dazu werden sie mit vorab berechneten Hashes verglichen, die für das Kernel-Image erwartet werden, und die Integrität wichtiger Kernel-Datenstrukturen wird überprüft.
Funktionsweise der Malware-Erkennung
VM Threat Detection erstellt kurzlebige Klone des nichtflüchtigen Speichers Ihrer VM, ohne Ihre Arbeitslasten zu unterbrechen, und scannt die Laufwerksklone. Dieser Dienst analysiert ausführbare Dateien auf der VM, um festzustellen, ob Dateien mit bekannten Malware-Signaturen übereinstimmen. Das generierte Ergebnis enthält Informationen zur Datei und zu den erkannten Malware-Signaturen.
Multi-Cloud-Funktionen
Außerhalb von Google Cloudist die Malware-Erkennung auch für Amazon Elastic Compute Cloud-VMs (EC2) verfügbar.
Wenn Sie AWS-VMs scannen möchten, müssen Sie Security Command Center Enterprise-Kunde sein und Sie müssen zuerst VM Threat Detection für AWS aktivieren.
Sie können diese Funktion nur auf Organisationsebene aktivieren. Während des Scans verwendet VM Threat Detection Ressourcen sowohl auf als auch auf AWS. Google Cloud
Scanfrequenz
Für den Speicher-Scan scannt VM Threat Detection jede VM-Instanz unmittelbar nach dem Erstellen der Instanz. Darüber hinaus scannt VM Threat Detection alle VM-Instanzen alle 30 Minuten.
- Für die Erkennung von Kryptowährung-Mining generiert VM Threat Detection ein Ergebnis pro Prozess, pro VM und pro Tag. Jedes Ergebnis enthält nur die Bedrohungen, die mit dem Prozess verbunden sind, der durch das Ergebnis identifiziert wird. Wenn VM Threat Detection Bedrohungen findet, sie jedoch keinem Prozess zuordnen kann, fasst VM Threat Detection für jede VM alle nicht zugehörigen Bedrohungen in einem einzigen Ergebnis zusammen, das jeweils einmal innerhalb eines Zeitraums von 24 Stunden ausgeführt wird. Bei Bedrohungen, die länger als 24 Stunden andauern, generiert die VM Threat Detection alle 24 Stunden neue Ergebnisse.
- Für die Erkennung von Kernel-Mode-Rootkits generiert VM Threat Detection alle drei Tage ein Ergebnis pro Kategorie und pro VM.
Für den Scan nichtflüchtiger Speicher, bei dem das Vorhandensein bekannter Malware erkannt wird, scannt VM Threat Detection jede VM-Instanz mindestens einmal täglich.
Wenn Sie die Premium-Stufe von Security Command Center aktivieren, werden VM Threat Detection-Scans automatisch aktiviert. Bei Bedarf können Sie den Dienst deaktivieren und/oder auf Projektebene aktivieren. Weitere Informationen finden Sie unter VM Threat Detection aktivieren oder deaktivieren.
Ergebnisse
In diesem Abschnitt werden die Bedrohungsergebnisse beschrieben, die von VM Threat Detection generiert werden.
VM Threat Detection hat die folgenden Bedrohungserkennungen.
Bedrohungsergebnisse für Kryptowährung-Mining
VM Threat Detection erkennt die folgenden Ergebniskategorien durch Hash-Abgleich oder YARA-Regeln.
| Kategorie | Modul | Beschreibung |
|---|---|---|
|
CRYPTOMINING_HASH
|
Vergleicht Speicher-Hashes von laufenden Programmen mit bekannten Speicher-Hashes von Kryptowährung-Mining-Software. Ergebnisse werden standardmäßig als Hoch eingestuft. |
|
CRYPTOMINING_YARA
|
Prüft Übereinstimmung mit Speichermustern, darunter Proof of Work-Konstanten, die bekanntermaßen verwendet werden von Kryptowährungs-Mining-Software. Ergebnisse werden standardmäßig als Hoch eingestuft. |
|
|
Identifiziert eine Bedrohung, die sowohl vom
CRYPTOMINING_HASH als auch von CRYPTOMINING_YARA Modulen erkannt wurde.
Weitere Informationen finden Sie unter
Kombinierte Erkennungen. Ergebnisse werden standardmäßig als Hoch eingestuft.
|
Bedrohungsergebnisse für Kernel-Mode-Rootkits
VM Threat Detection analysiert die Kernel-Integrität zur Laufzeit, um gängige Umgehungstechniken zu erkennen, die von Malware verwendet werden.
Das KERNEL_MEMORY_TAMPERING
Modul erkennt Bedrohungen, indem es einen Hash-Vergleich des
Kernel-Codes und des schreibgeschützten Kernel-Datenspeichers einer virtuellen Maschine durchführt.
Das KERNEL_INTEGRITY_TAMPERING Modul erkennt Bedrohungen, indem es
die Integrität wichtiger Kernel-Datenstrukturen überprüft.
| Kategorie | Modul | Beschreibung |
|---|---|---|
| Rootkit | ||
|
|
Es ist eine Kombination von Signalen vorhanden, die mit einem bekannten Kernel-Mode-Rootkit übereinstimmen. Damit Sie Ergebnisse dieser Kategorie erhalten, müssen beide Module aktiviert sein. Ergebnisse werden standardmäßig als Hoch eingestuft. |
| Manipulation des Kernel-Arbeitsspeichers | ||
|
KERNEL_MEMORY_TAMPERING
|
Es sind unerwartete Änderungen des schreibgeschützten Kernel-Datenspeichers vorhanden. Ergebnisse werden standardmäßig als Hoch eingestuft. |
| Manipulation der Kernel-Integrität | ||
|
KERNEL_INTEGRITY_TAMPERING
|
ftrace Punkte sind mit Callbacks vorhanden, die auf Bereiche verweisen, die nicht im erwarteten Kernel- oder Modulcodebereich liegen. Ergebnisse werden standardmäßig als Hoch eingestuft.
|
|
KERNEL_INTEGRITY_TAMPERING
|
Es sind Interrupt-Handler vorhanden, die sich nicht in den erwarteten Kernel- oder Modulcodebereichen befinden. Ergebnisse werden standardmäßig als Hoch eingestuft. |
|
KERNEL_INTEGRITY_TAMPERING
|
Es sind Kernel-Codeseiten vorhanden, die sich nicht in den erwarteten Kernel- oder Modulcodebereichen befinden. Ergebnisse werden standardmäßig als Hoch eingestuft. |
|
KERNEL_INTEGRITY_TAMPERING
|
kprobe Punkte sind mit Callbacks vorhanden, die auf Bereiche verweisen, die nicht im
erwarteten Kernel- oder Modulcodebereich liegen. Ergebnisse werden standardmäßig als Hoch eingestuft.
|
|
KERNEL_INTEGRITY_TAMPERING
|
Es sind unerwartete Prozesse in der Ausführungswarteschlange des Planers vorhanden. Solche Prozesse befinden sich in der Ausführungswarteschlange, aber nicht in der Prozessaufgabenliste. Ergebnisse werden standardmäßig als Hoch eingestuft. |
|
KERNEL_INTEGRITY_TAMPERING
|
Es sind Systemaufruf-Handler vorhanden, die sich nicht in den erwarteten Kernel- oder Modulcodebereichen befinden. Ergebnisse werden standardmäßig als Hoch eingestuft. |
Bedrohungsergebnisse für Malware
VM Threat Detection erkennt die folgenden Ergebniskategorien, indem der nichtflüchtige Speicher einer VM nach bekannter Malware gescannt wird.
| Kategorie | Modul | Beschreibung | Unterstützter Cloud-Anbieter |
|---|---|---|---|
Malware: Malicious file on disk
|
MALWARE_DISK_SCAN_YARA_AWS
|
Scannt nichtflüchtige Speicher in Amazon EC2-VMs und gleicht Signaturen ab, die von bekannter Malware verwendet werden. Ergebnisse werden standardmäßig als Mittel eingestuft. | AWS |
Malware: Malicious file on disk (YARA)
|
MALWARE_DISK_SCAN_YARA
|
Scannt nichtflüchtige Speicher in Compute Engine-VMs und gleicht Signaturen ab, die von bekannter Malware verwendet werden. Ergebnisse werden standardmäßig als Mittel eingestuft. | Google Cloud |
VMs in VPC Service Controls-Perimetern scannen
Bevor VM Threat Detection VMs in VPC Service Controls-Perimetern scannen kann, müssen Sie in jedem Perimeter, den Sie scannen möchten, Regeln für eingehenden und ausgehenden Traffic hinzufügen. Weitere Informationen finden Sie unter VM Threat Detection Zugriff auf VPC Service Controls Perimeter gewähren.
Beschränkungen
VM Threat Detection unterstützt Compute Engine VM-Instanzen mit den folgenden Einschränkungen:
Eingeschränkter Support für Windows-VMs:
Für die Erkennung von Kryptowährung-Mining konzentriert sich VM Threat Detection hauptsächlich auf Linux-Binärdateien. Kryptowährung-Miner, die unter Windows ausgeführt werden, werden nur in Grenzen abgedeckt.
Für die Erkennung von Kernel-Mode-Rootkits unterstützt VM Threat Detection nur Linux-Betriebssysteme.
Keine Unterstützung für Compute Engine-VMs, die Confidential VM verwenden. Confidential VM-Instanzen verwenden Kryptografie, um den Inhalt des Speichers zu schützen, wenn er in und aus der CPU verschoben wird. Daher kann VM Threat Detection sie nicht scannen.
Keine Unterstützung für VMs, die Arm-basierte Prozessoren verwenden.
Einschränkungen beim Scannen von Laufwerken:
Nichtflüchtige Speicher, die mit vom Kunden bereitgestellten Verschlüsselungsschlüsseln (CSEK) oder vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) verschlüsselt sind, werden nicht unterstützt.
Es werden nur
vfat-,ext2- undext4-Partitionen gescannt.
VM Threat Detection erfordert, dass der Security Center-Dienst Agent die VMs in den Projekten auflisten und die Laufwerke in Google-Projekte klonen kann. Einige Einschränkungen der Organisationsrichtlinie —z. B.
constraints/compute.storageResourceUseRestrictions—können solche Vorgänge beeinträchtigen. In diesem Fall funktioniert der VM Threat Detection-Scan möglicherweise nicht.VM Threat Detection nutzt die Funktionen des Google Cloud's Hypervisors und von Compute Engine. Daher kann VM Threat Detection nicht in lokalen Umgebungen oder in anderen öffentlichen Cloud-Umgebungen ausgeführt werden.
Datenschutz und Sicherheit
VM Threat Detection greift zur Analyse auf die Laufwerksklone und den Speicher einer laufenden VM zu. Der Dienst analysiert nur das, was zur Erkennung von Bedrohungen erforderlich ist.
Inhalte des VM-Speichers und der Laufwerksklone werden als Eingaben in der Risikoanalysepipeline von VM Threat Detection verwendet. Die Daten werden während der Übertragung verschlüsselt und von automatisierten Systemen verarbeitet. Während der Verarbeitung werden die Daten durch die Google CloudSicherheitskontrollsysteme von geschützt.
Zu Monitoring- und Debugging-Zwecken speichert VM Threat Detection grundlegende Diagnose- und statistische Informationen zu Projekten, die der Dienst schützt.
VM Threat Detection scannt Inhalte von VM-Speichern und Laufwerksklonen in ihren jeweiligen Regionen. Die resultierenden Ergebnisse und Metadaten (z. B. Projekt- und Organisationsnummern) können jedoch außerhalb dieser Regionen gespeichert werden.
Weitere Informationen zum Umgang von Security Command Center mit Ihren Daten finden Sie unter Daten und Infrastruktursicherheit Übersicht.
Nächste Schritte
- VM Threat Detection verwenden
- VM Threat Detection für AWS aktivieren
- VM Threat Detection das Scannen von VMs in VPC Service Controls Perimetern erlauben
- VM auf Anzeichen von Manipulation des Kernel-Arbeitsspeichers untersuchen
- Auf Compute Engine-Bedrohungsergebnisse reagieren
- Weitere Informationen finden Sie im Index der Bedrohungsergebnisse.