Cette page explique les bonnes pratiques à adopter pour détecter des attaques reposant sur le minage de cryptomonnaie sur les machines virtuelles (VM) Compute Engine dans votre environnement Google Cloud .
Ces bonnes pratiques servent également de critères d'éligibilité au programme de protection contre le minage de cryptomonnaie deGoogle Cloud . Pour en savoir plus sur le programme, consultez la présentation du programme de protection contre le minage de cryptomonnaie de Security Command Center.
Activer le niveau Premium ou Enterprise de Security Command Center pour votre organisation
L'activation du niveau Premium ou Enterprise de Security Command Center est un élément fondamental pour détecter les attaques reposant sur le minage de cryptomonnaie dansGoogle Cloud.
Deux services de détection des menaces des niveaux Premium et Enterprise sont essentiels pour détecter les attaques impliquant le minage de cryptomonnaie : Event Threat Detection et VM Threat Detection.
Étant donné que les activités de minage de cryptomonnaie peuvent se produire sur n'importe quelle VM de n'importe quel projet de votre organisation, il est recommandé, et même obligatoire, de déployer Security Command Center Premium ou Enterprise pour l'ensemble de votre organisation en activant Event Threat Detection et VM Threat Detection. C'est une exigence du programme de protection contre le minage de cryptomonnaie de Security Command Center.
Pour en savoir plus, consultez la présentation de l'activation de Security Command Center ou Activer le niveau Security Command Center Enterprise.
Activer les principaux services de détection des menaces sur tous les projets
Activez les services de détection Event Threat Detection et VM Threat Detection de Security Command Center sur tous les projets de votre organisation.
Ensemble, Event Threat Detection et VM Threat Detection identifient les événements pouvant entraîner une attaque par minage de cryptomonnaie (événements de stade 0) et les événements indiquant qu'une attaque est en cours (événements de stade 1). Les événements spécifiques détectés par ces services sont décrits dans les sections suivantes.
Pour en savoir plus, consultez les ressources suivantes :
Activer la détection des événements de stade 0
Les événements de stade 0 sont des événements qui se produisent dans votre environnement et qui précèdent souvent les attaques par minage de cryptomonnaie ou en constituent la première étape.
Event Threat Detection, un service de détection disponible avec Security Command Center Premium ou Enterprise, génère des résultats pour vous alerter lorsqu'il détecte certains événements de stade 0.
Si vous pouvez détecter et résoudre ces problèmes rapidement, vous empêchez de nombreuses attaques de minage de cryptomonnaie et évitez que celles-ci n'engendrent des coûts importants.
Event Threat Detection utilise les catégories de résultats suivantes pour vous alerter au sujet de ces événements :
- Account_Has_Leaked_Credentials : un résultat relevant de cette catégorie indique qu'une clé de compte de service a été divulguée sur GitHub. L'acquisition illicite d'identifiants de compte de service est un précurseur courant des attaques impliquant le minage de cryptomonnaie.
- Evasion: Access from Anonymizing Proxy (Évasion : accès depuis un proxy d'anonymisation) : un résultat relevant de cette catégorie indique qu'une modification apportée à un serviceGoogle Cloud provient d'une adresse IP associée au réseau Tor.
- Initial Access: Dormant Service Account Action (Accès initial : action sur un compte de service inactif) : un résultat relevant de cette catégorie indique qu'un compte de service inactif a effectué une action dans votre environnement. Security Command Center utilise Policy Intelligence pour détecter les comptes inactifs.
Activer la détection des événements de stade 1
Les événements de stade 1 sont des événements indiquant qu'une application de minage de cryptomonnaie est en cours d'exécution dans votre environnement Google Cloud .
Event Threat Detection et VM Threat Detection génèrent des résultats Security Command Center pour vous alerter lorsqu'ils détectent certains événements de stade 1.
Examinez ces résultats et corrigez immédiatement les problèmes pour éviter d'encourir les coûts importants associés à la consommation de ressources par les applications de minage de cryptomonnaie.
Un résultat relevant de l'une des catégories suivantes indique qu'une application de minage de cryptomonnaie est en cours d'exécution sur une VM dans l'un des projets de votre environnement Google Cloud :
- Execution: Cryptomining YARA Rule (Exécution : règle YARA de minage de cryptomonnaie) : les résultats relevant de cette catégorie indiquent que VM Threat Detection a identifié un modèle de mémoire, tel qu'une constante de preuve de travail, utilisé par une application de minage de cryptomonnaie.
- Execution: Cryptomining Hash Match (Exécution : correspondance de hachage pour le minage de cryptomonnaie) : les résultats relevant de cette catégorie indiquent que VM Threat Detection a identifié un hachage de mémoire utilisé par une application de minage de cryptomonnaie.
- Execution: Combined Detection (Exécution : détection combinée) : les résultats relevant de cette catégorie indiquent que VM Threat Detection a identifié à la fois un modèle de mémoire et un hachage de mémoire utilisés par une application de minage de cryptomonnaie.
- Malware: Bad IP (Logiciel malveillant : adresse IP malveillante) : les résultats relevant de cette catégorie indiquent qu'Event Threat Detection a identifié une connexion à une adresse IP (ou une recherche d'adresse IP) connue pour être utilisée par des applications de minage de cryptomonnaie.
- Malware: Bad Domain (Logiciel malveillant : domaine malveillant) : les résultats relevant de cette catégorie indiquent qu'Event Threat Detection a identifié une connexion à un domaine (ou une recherche de domaine) connu pour être utilisé par des applications de minage de cryptomonnaie.
Activer la journalisation Cloud DNS
Pour détecter les appels effectués par des applications de minage de cryptomonnaie vers des domaines malveillants connus, activez la journalisation Cloud DNS. Event Threat Detection traite les journaux Cloud DNS et génère des résultats lorsqu'il détecte la résolution d'un domaine qui est connu pour être utilisé dans les pools de minage de cryptomonnaie.
Intégrer vos produits SIEM et SOAR à Security Command Center
Intégrez Security Command Center avec vos outils d'opérations de sécurité existants, tels que vos produits SIEM ou SOAR, pour trier les résultats Security Command Center pour les événements de stade 0 et 1 qui indiquent des attaques de minage de cryptomonnaie potentielles ou réelles, ainsi que pour traiter ces attaques.
Si votre équipe de sécurité n'utilise pas de produit SIEM ni SOAR, elle doit se familiariser avec l'utilisation des résultats Security Command Center dans la console Google Cloud , et apprendre à configurer les notifications et les exportations de résultats à l'aide de Pub/Sub ou des API Security Command Center pour acheminer efficacement les résultats indiquant des attaques impliquant le minage de cryptomonnaie.
Pour connaître les résultats spécifiques que vous devez exporter vers vos outils d'opérations de sécurité, consultez Activer les principaux services de détection des menaces sur tous les projets.
Pour savoir comment intégrer des produits SIEM et SOAR avec Security Command Center, consultez Configurer des intégrations SIEM et SOAR.
Pour savoir comment configurer des notifications ou des exportations de résultats, consultez les informations suivantes :
- Activer les notifications par e-mail et de chat en temps réel
- Activer les notifications de résultats pour Pub/Sub
Désigner vos contacts essentiels pour les notifications de sécurité
Pour que votre entreprise puisse répondre le plus rapidement possible aux notifications de sécurité de Google, indiquez à Google Cloud quelles équipes de votre entreprise, telles que les équipes de sécurité IT ou de sécurité des opérations, doivent recevoir les notifications de sécurité. Pour spécifier une équipe, saisissez son adresse e-mail dans Contacts essentiels.
Pour assurer la fiabilité de la diffusion de ces notifications dans le temps, nous encourageons vivement les équipes à configurer une liste de diffusion, un groupe ou tout autre autre mécanisme permettant d'assurer la cohérence de la diffusion et de la distribution à l'équipe responsable au sein de votre organisation. Nous vous recommandons de ne pas spécifier les adresses e-mail de personnes physiques comme contacts essentiels, car la communication peut être interrompue si ces personnes changent d'équipe ou quittent l'entreprise.
Après avoir configuré vos contacts essentiels, assurez-vous que la boîte de réception associée à l'adresse e-mail est surveillée en permanence par vos équipes de sécurité. La surveillance continue est une bonne pratique essentielle, étant donné que les pirates informatiques lancent fréquemment des attaques impliquant le minage de cryptomonnaie lorsqu'ils s'attendent à ce que vous soyez moins vigilant, par exemple le week-end, les jours fériés et la nuit.
Il est recommandé, et même obligatoire, de désigner vos contacts essentiels pour la sécurité, puis de surveiller leur adresse e-mail dans le cadre du programme de protection contre le minage de cryptomonnaie de Security Command Center.
Conserver les autorisations IAM requises
Vos équipes de sécurité ainsi que Security Command Center ont besoin d'une autorisation pour accéder aux ressources de l'environnement Google Cloud . Vous gérez l'authentification et l'autorisation à l'aide d'Identity and Access Management (IAM).
Il est considéré comme une bonne pratique de conserver ou préserver les rôles et autorisations IAM nécessaires pour détecter les attaques reposant sur le minage de cryptomonnaie et y répondre. Dans le cas de Security Command Center, c'est même une exigence de base.
Pour obtenir des informations générales sur IAM sur Google Cloud, consultez la présentation d'IAM.
Autorisations requises pour vos équipes de sécurité
Pour pouvoir afficher les résultats de Security Command Center et faire face immédiatement à une attaque de minage de cryptomonnaie ou à un autre problème de sécurité sur Google Cloud, les comptes utilisateur Google Cloud de votre personnel de sécurité doivent être autorisés en amont à examiner les problèmes qui pourraient survenir, ainsi qu'à apporter une réponse afin de les résoudre.
Sur Google Cloud, vous pouvez gérer l'authentification et l'autorisation à l'aide de rôles et autorisations IAM.
Rôles requis pour utiliser Security Command Center
Pour en savoir plus sur les rôles IAM dont les utilisateurs ont besoin pour travailler avec Security Command Center, consultez Contrôle des accès avec IAM.
Rôles requis pour utiliser d'autres services Google Cloud
Pour examiner correctement une attaque de minage de cryptomonnaie, vous aurez probablement besoin d'autres rôles IAM, tels que des rôles Compute Engine vous permettant d'afficher et de gérer l'instance de VM concernée et les applications qui y sont exécutées.
Selon l'orientation que prend votre enquête sur une attaque, vous aurez peut-être besoin d'autres rôles, tels que des rôles réseau Compute Engine ou des rôles Cloud Logging.
Vous devez également disposer des autorisations IAM appropriées pour créer et gérer vos contacts essentiels pour la sécurité. Pour en savoir plus sur les rôles IAM requis pour gérer les contacts de sécurité, consultez les rôles requis.
Autorisations requises par Security Command Center
Lorsque vous activez Security Command Center, Google Cloud crée automatiquement un compte de service que Security Command Center utilise pour l'authentification et l'autorisation lors de l'exécution des analyses et du traitement des journaux. Lors du processus d'activation, vous confirmez les autorisations accordées au compte de service.
Ne supprimez pas et ne modifiez pas ce compte de service, ses rôles ou ses autorisations.