Esta página foi traduzida pela API Cloud Translation.

Use a Deteção de ameaças da máquina virtual

Esta página descreve como ver e gerir as conclusões da Deteção de ameaças de VMs. Também mostra como ativar ou desativar o serviço e os respetivos módulos.

Vista geral

A Deteção de ameaças da máquina virtual é um serviço integrado do Security Command Center. Este serviço analisa máquinas virtuais para detetar aplicações potencialmente maliciosas, como software de mineração de criptomoedas, rootkits no modo kernel e software malicioso em execução em ambientes de nuvem comprometidos.

A deteção de ameaças de VMs faz parte do conjunto de deteção de ameaças do Security Command Center e foi concebida para complementar as capacidades existentes da deteção de ameaças de eventos e da deteção de ameaças de contentores.

Para mais informações, consulte a Vista geral da deteção de ameaças de VMs.

Antes de começar

Para obter as autorizações de que precisa para gerir o serviço de deteção de ameaças de máquinas virtuais e os respetivos módulos, peça ao seu administrador que lhe conceda a função de IAM Administrador de gestão do Centro de segurança (roles/securitycentermanagement.admin) na organização, na pasta ou no projeto. Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.

Também pode conseguir as autorizações necessárias através de funções personalizadas ou outras funções predefinidas.

Teste a deteção de ameaças de VMs

Para testar a deteção de mineração de criptomoeda da Deteção de ameaças de VMs, pode executar uma aplicação de mineração de criptomoeda na sua VM. Para ver uma lista de nomes binários e regras YARA que acionam as conclusões, consulte Nomes de software e regras YARA. Se instalar e testar aplicações de mineração, recomendamos que execute apenas aplicações num ambiente de teste isolado, monitorize atentamente a respetiva utilização e as remova completamente após o teste.

Para testar a deteção de software malicioso da Deteção de ameaças de VMs, pode transferir aplicações de software malicioso para a sua VM. Se transferir software malicioso, recomendamos que o faça num ambiente de teste isolado e o remova completamente após o teste.

Reveja as conclusões na Google Cloud consola

Para rever as conclusões da Deteção de ameaças de VMs na Google Cloud consola, faça o seguinte:

Na Google Cloud consola, aceda à página Resultados do Centro de comando de segurança.
Aceda a Conclusões
Selecione o seu Google Cloud projeto ou organização.
Na secção Filtros rápidos, na subsecção Nome a apresentar da origem, selecione Deteção de ameaças de máquinas virtuais. Os resultados da consulta de conclusões são atualizados para mostrar apenas as conclusões desta origem.
Para ver os detalhes de uma descoberta específica, clique no nome da descoberta na coluna Categoria. O painel de detalhes da descoberta é aberto e apresenta o separador Resumo.
No separador Resumo, reveja os detalhes da descoberta, incluindo informações sobre o que foi detetado, o recurso afetado e, se disponíveis, os passos que pode seguir para corrigir a descoberta.
Opcional: para ver a definição JSON completa da descoberta, clique no separador JSON.

Para obter informações sobre como responder a uma deteção de ameaças de VM específica, pesquise a deteção no índice de deteções de ameaças.

Para recomendações de respostas de alto nível, consulte o artigo Responda a resultados de ameaças do Compute Engine.

Para ver uma lista das conclusões da deteção de ameaças de VMs, consulte a secção Conclusões.

Gravidade

As conclusões da Deteção de ameaças de VMs são atribuídas com gravidade Alta, Média e Baixa com base na confiança da classificação de ameaças.

Deteções combinadas

As deteções combinadas ocorrem quando são detetadas várias categorias de resultados num dia. As conclusões podem ser causadas por uma ou mais aplicações maliciosas. Por exemplo, uma única aplicação pode acionar simultaneamente as conclusões Execution: Cryptocurrency Mining YARA Rule e Execution: Cryptocurrency Mining Hash Match. No entanto, todas as ameaças detetadas a partir de uma única origem no mesmo dia são agregadas num único resultado de deteção combinada. Nos dias seguintes, se forem encontradas mais ameaças, mesmo que sejam as mesmas, estas são anexadas a novas conclusões.

Para ver um exemplo de uma descoberta de deteção combinada, consulte Exemplos de formatos de descobertas.

Exemplo de formatos de localização

Esta secção apresenta exemplos de saída JSON para as conclusões da deteção de ameaças da VM. Vê este resultado quando exporta descobertas através da Google Cloud consola ou lista descobertas através da API Security Command Center ou da CLI Google Cloud.

Os exemplos nesta página mostram diferentes tipos de conclusões. Cada exemplo inclui apenas os campos mais relevantes para esse tipo de descoberta. Para ver uma lista completa dos campos disponíveis numa descoberta, consulte a documentação da API Security Command Center para o recurso Finding.

Pode exportar resultados através da consola do Security Command Center ou listar resultados através da API Security Command Center.

Para ver os resultados de exemplo, expanda um ou mais dos seguintes nós. Para ver informações sobre cada campo na deteção, consulte Finding.

`Defense Evasion: Rootkit`

Este exemplo de saída mostra uma deteção de um rootkit de modo kernel conhecido: Diamorphine.

{
  "findings": {
    "access": {},
    "assetDisplayName": "DISPLAY_NAME",
    "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
    "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
    "category": "Defense Evasion: Rootkit",
    "createTime": "2023-01-12T00:39:33.007Z",
    "database": {},
    "eventTime": "2023-01-11T21:24:05.326Z",
    "exfiltration": {},
    "findingClass": "THREAT",
    "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
    "indicator": {},
    "kernelRootkit": {
      "name": "Diamorphine",
      "unexpected_kernel_code_pages": true,
      "unexpected_system_call_handler": true
    },
    "kubernetes": {},
    "mitreAttack": {
      "version": "9"
    },
    "mute": "UNDEFINED",
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
    "parentDisplayName": "Virtual Machine Threat Detection",
    "processes": [],
    "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
    "severity": "HIGH",
    "sourceDisplayName": "Virtual Machine Threat Detection",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
    "display_name": "DISPLAY_NAME",
    "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
    "project_display_name": "PROJECT_ID",
    "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
    "parent_display_name": "DISPLAY_NAME",
    "type": "google.compute.Instance",
    "folders": []
  },
  "sourceProperties": {}
}

`Defense Evasion: Unexpected ftrace handler`

  {
    "findings": {
      "access": {},
      "assetDisplayName": "DISPLAY_NAME",
      "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
      "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
      "category": "Defense Evasion: Unexpected ftrace handler",
      "createTime": "2023-01-12T00:39:33.007Z",
      "database": {},
      "eventTime": "2023-01-11T21:24:05.326Z",
      "exfiltration": {},
      "findingClass": "THREAT",
      "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
      "indicator": {},
      "kernelRootkit": {},
      "kubernetes": {},
      "mitreAttack": {
        "version": "9"
      },
      "mute": "UNDEFINED",
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
      "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
      "parentDisplayName": "Virtual Machine Threat Detection",
      "processes": [],
      "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "severity": "HIGH",
      "sourceDisplayName": "Virtual Machine Threat Detection",
      "state": "ACTIVE",
      "vulnerability": {},
      "workflowState": "NEW"
    },
    "resource": {
      "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "display_name": "DISPLAY_NAME",
      "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "project_display_name": "PROJECT_ID",
      "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "parent_display_name": "DISPLAY_NAME",
      "type": "google.compute.Instance",
      "folders": []
    },
    "sourceProperties": {}
  }

`Defense Evasion: Unexpected interrupt handler`

  {
    "findings": {
      "access": {},
      "assetDisplayName": "DISPLAY_NAME",
      "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
      "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
      "category": "Defense Evasion: Unexpected interrupt handler",
      "createTime": "2023-01-12T00:39:33.007Z",
      "database": {},
      "eventTime": "2023-01-11T21:24:05.326Z",
      "exfiltration": {},
      "findingClass": "THREAT",
      "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
      "indicator": {},
      "kernelRootkit": {},
      "kubernetes": {},
      "mitreAttack": {
        "version": "9"
      },
      "mute": "UNDEFINED",
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
      "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
      "parentDisplayName": "Virtual Machine Threat Detection",
      "processes": [],
      "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "severity": "HIGH",
      "sourceDisplayName": "Virtual Machine Threat Detection",
      "state": "ACTIVE",
      "vulnerability": {},
      "workflowState": "NEW"
    },
    "resource": {
      "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "display_name": "DISPLAY_NAME",
      "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "project_display_name": "PROJECT_ID",
      "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "parent_display_name": "DISPLAY_NAME",
      "type": "google.compute.Instance",
      "folders": []
    },
    "sourceProperties": {}
  }

`Defense Evasion: Unexpected kernel modules`

  {
    "findings": {
      "access": {},
      "assetDisplayName": "DISPLAY_NAME",
      "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
      "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
      "category": "Defense Evasion: Unexpected kernel modules",
      "createTime": "2023-01-12T00:39:33.007Z",
      "database": {},
      "eventTime": "2023-01-11T21:24:05.326Z",
      "exfiltration": {},
      "findingClass": "THREAT",
      "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
      "indicator": {},
      "kernelRootkit": {},
      "kubernetes": {},
      "mitreAttack": {
        "version": "9"
      },
      "mute": "UNDEFINED",
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
      "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
      "parentDisplayName": "Virtual Machine Threat Detection",
      "processes": [],
      "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "severity": "HIGH",
      "sourceDisplayName": "Virtual Machine Threat Detection",
      "state": "ACTIVE",
      "vulnerability": {},
      "workflowState": "NEW"
    },
    "resource": {
      "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "display_name": "DISPLAY_NAME",
      "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "project_display_name": "PROJECT_ID",
      "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "parent_display_name": "DISPLAY_NAME",
      "type": "google.compute.Instance",
      "folders": []
    },
    "sourceProperties": {}
  }

`Defense Evasion: Unexpected kernel read-only data modification`

  {
    "findings": {
      "access": {},
      "assetDisplayName": "DISPLAY_NAME",
      "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
      "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
      "category": "Defense Evasion: Unexpected kernel read-only data modification",
      "createTime": "2023-01-12T00:39:33.007Z",
      "database": {},
      "eventTime": "2023-01-11T21:24:05.326Z",
      "exfiltration": {},
      "findingClass": "THREAT",
      "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
      "indicator": {},
      "kernelRootkit": {},
      "kubernetes": {},
      "mitreAttack": {
        "version": "9"
      },
      "mute": "UNDEFINED",
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
      "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
      "parentDisplayName": "Virtual Machine Threat Detection",
      "processes": [],
      "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "severity": "HIGH",
      "sourceDisplayName": "Virtual Machine Threat Detection",
      "state": "ACTIVE",
      "vulnerability": {},
      "workflowState": "NEW"
    },
    "resource": {
      "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "display_name": "DISPLAY_NAME",
      "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "project_display_name": "PROJECT_ID",
      "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "parent_display_name": "DISPLAY_NAME",
      "type": "google.compute.Instance",
      "folders": []
    },
    "sourceProperties": {}
  }

`Defense Evasion: Unexpected kprobe handler`

  {
    "findings": {
      "access": {},
      "assetDisplayName": "DISPLAY_NAME",
      "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
      "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
      "category": "Defense Evasion: Unexpected kprobe handler",
      "createTime": "2023-01-12T00:39:33.007Z",
      "database": {},
      "eventTime": "2023-01-11T21:24:05.326Z",
      "exfiltration": {},
      "findingClass": "THREAT",
      "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
      "indicator": {},
      "kernelRootkit": {},
      "kubernetes": {},
      "mitreAttack": {
        "version": "9"
      },
      "mute": "UNDEFINED",
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
      "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
      "parentDisplayName": "Virtual Machine Threat Detection",
      "processes": [],
      "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "severity": "HIGH",
      "sourceDisplayName": "Virtual Machine Threat Detection",
      "state": "ACTIVE",
      "vulnerability": {},
      "workflowState": "NEW"
    },
    "resource": {
      "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "display_name": "DISPLAY_NAME",
      "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "project_display_name": "PROJECT_ID",
      "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "parent_display_name": "DISPLAY_NAME",
      "type": "google.compute.Instance",
      "folders": []
    },
    "sourceProperties": {}
  }

`Defense Evasion: Unexpected processes in runqueue`

  {
    "findings": {
      "access": {},
      "assetDisplayName": "DISPLAY_NAME",
      "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
      "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
      "category": "Defense Evasion: Unexpected processes in runqueue",
      "createTime": "2023-01-12T00:39:33.007Z",
      "database": {},
      "eventTime": "2023-01-11T21:24:05.326Z",
      "exfiltration": {},
      "findingClass": "THREAT",
      "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
      "indicator": {},
      "kernelRootkit": {},
      "kubernetes": {},
      "mitreAttack": {
        "version": "9"
      },
      "mute": "UNDEFINED",
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
      "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
      "parentDisplayName": "Virtual Machine Threat Detection",
      "processes": [],
      "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "severity": "HIGH",
      "sourceDisplayName": "Virtual Machine Threat Detection",
      "state": "ACTIVE",
      "vulnerability": {},
      "workflowState": "NEW"
    },
    "resource": {
      "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "display_name": "DISPLAY_NAME",
      "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "project_display_name": "PROJECT_ID",
      "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "parent_display_name": "DISPLAY_NAME",
      "type": "google.compute.Instance",
      "folders": []
    },
    "sourceProperties": {}
  }

`Defense Evasion: Unexpected system call handler`

  {
    "findings": {
      "access": {},
      "assetDisplayName": "DISPLAY_NAME",
      "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
      "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
      "category": "Defense Evasion: Unexpected system call handler",
      "createTime": "2023-01-12T00:39:33.007Z",
      "database": {},
      "eventTime": "2023-01-11T21:24:05.326Z",
      "exfiltration": {},
      "findingClass": "THREAT",
      "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
      "indicator": {},
      "kernelRootkit": {},
      "kubernetes": {},
      "mitreAttack": {
        "version": "9"
      },
      "mute": "UNDEFINED",
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
      "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
      "parentDisplayName": "Virtual Machine Threat Detection",
      "processes": [],
      "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "severity": "HIGH",
      "sourceDisplayName": "Virtual Machine Threat Detection",
      "state": "ACTIVE",
      "vulnerability": {},
      "workflowState": "NEW"
    },
    "resource": {
      "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
      "display_name": "DISPLAY_NAME",
      "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "project_display_name": "PROJECT_ID",
      "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "parent_display_name": "DISPLAY_NAME",
      "type": "google.compute.Instance",
      "folders": []
    },
    "sourceProperties": {}
  }

`Execution: Cryptocurrency Mining Combined Detection`

Este exemplo de saída mostra uma ameaça que foi detetada pelos módulos CRYPTOMINING_HASH e CRYPTOMINING_YARA.

{
  "findings": {
    "access": {},
    "assetDisplayName": "DISPLAY_NAME",
    "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
    "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "category": "Execution: Cryptocurrency Mining Combined Detection",
    "createTime": "2023-01-05T01:40:48.994Z",
    "database": {},
    "eventTime": "2023-01-05T01:39:36.876Z",
    "exfiltration": {},
    "findingClass": "THREAT",
    "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
    "indicator": {
      "signatures": [
        {
          "yaraRuleSignature": {
            "yaraRule": "YARA_RULE1"
          }
        },
        {
          "yaraRuleSignature": {
            "yaraRule": "YARA_RULE9"
          }
        },
        {
          "yaraRuleSignature": {
            "yaraRule": "YARA_RULE10"
          }
        },
        {
          "yaraRuleSignature": {
            "yaraRule": "YARA_RULE25"
          }
        },
        {
          "memoryHashSignature": {
            "binaryFamily": "XMRig",
            "detections": [
              {
                "binary": "linux-x86-64_xmrig_6.12.2",
                "percentPagesMatched": 1
              }
            ]
          }
        }
      ]
    },
    "kernelRootkit": {},
    "kubernetes": {},
    "mitreAttack": {
      "version": "9"
    },
    "mute": "UNDEFINED",
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
    "parentDisplayName": "Virtual Machine Threat Detection",
    "processes": [
      {
        "binary": {
          "path": "BINARY_PATH"
        },
        "script": {},
        "args": [
          "./miner",
          ""
        ],
        "pid": "123",
        "parentPid": "456",
        "name": "miner"
      }
    ],
    "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
    "severity": "HIGH",
    "sourceDisplayName": "Virtual Machine Threat Detection",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
    "display_name": "DISPLAY_NAME",
    "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "project_display_name": "DISPLAY_NAME",
    "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "parent_display_name": "DISPLAY_NAME",
    "type": "google.compute.Instance",
    "folders": []
  },
  "sourceProperties": {}
}

`Execution: Cryptocurrency Mining Hash Match Detection`

{
  "findings": {
    "access": {},
    "assetDisplayName": "DISPLAY_NAME",
    "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
    "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "category": "Execution: Cryptocurrency Mining Hash Match",
    "createTime": "2023-01-05T01:40:48.994Z",
    "database": {},
    "eventTime": "2023-01-05T01:39:36.876Z",
    "exfiltration": {},
    "findingClass": "THREAT",
    "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
    "indicator": {
      "signatures": [
        {
          "memoryHashSignature": {
            "binaryFamily": "XMRig",
            "detections": [
              {
                "binary": "linux-x86-64_xmrig_6.12.2",
                "percentPagesMatched": 1
              }
            ]
          }
        }
      ]
    },
    "kernelRootkit": {},
    "kubernetes": {},
    "mitreAttack": {
      "version": "9"
    },
    "mute": "UNDEFINED",
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
    "parentDisplayName": "Virtual Machine Threat Detection",
    "processes": [
      {
        "binary": {
          "path": "BINARY_PATH"
        },
        "script": {},
        "args": [
          "./miner",
          ""
        ],
        "pid": "123",
        "parentPid": "456",
        "name": "miner"
      }
    ],
    "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
    "severity": "HIGH",
    "sourceDisplayName": "Virtual Machine Threat Detection",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
    "display_name": "DISPLAY_NAME",
    "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "project_display_name": "DISPLAY_NAME",
    "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "parent_display_name": "DISPLAY_NAME",
    "type": "google.compute.Instance",
    "folders": []
  },
  "sourceProperties": {}
}

`Execution: Cryptocurrency Mining YARA Rule`

{
  "findings": {
    "access": {},
    "assetDisplayName": "DISPLAY_NAME",
    "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
    "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "category": "Execution: Cryptocurrency Mining YARA Rule",
    "createTime": "2023-01-05T00:37:38.450Z",
    "database": {},
    "eventTime": "2023-01-05T01:12:48.828Z",
    "exfiltration": {},
    "findingClass": "THREAT",
    "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
    "indicator": {
      "signatures": [
        {
          "yaraRuleSignature": {
            "yaraRule": "YARA_RULE9"
          }
        },
        {
          "yaraRuleSignature": {
            "yaraRule": "YARA_RULE10"
          }
        },
        {
          "yaraRuleSignature": {
            "yaraRule": "YARA_RULE25"
          }
        }
      ]
    },
    "kernelRootkit": {},
    "kubernetes": {},
    "mitreAttack": {
      "version": "9"
    },
    "mute": "UNDEFINED",
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
    "parentDisplayName": "Virtual Machine Threat Detection",
    "processes": [
      {
        "binary": {
          "path": "BINARY_PATH"
        },
        "script": {},
        "args": [
          "./miner",
          ""
        ],
        "pid": "123",
        "parentPid": "456",
        "name": "miner"
      }
    ],
    "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
    "severity": "HIGH",
    "sourceDisplayName": "Virtual Machine Threat Detection",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
    "display_name": "DISPLAY_NAME",
    "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "project_display_name": "DISPLAY_NAME",
    "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "parent_display_name": "DISPLAY_NAME",
    "type": "google.compute.Instance",
    "folders": []
  },
  "sourceProperties": {}
}

`Malware: Malicious file on disk (YARA)`

{
  "findings": {
    "assetDisplayName": "DISPLAY_NAME",
    "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
    "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "category": "Malware: Malicious file on disk (YARA)",
    "createTime": "2023-01-05T00:37:38.450Z",
    "eventTime": "2023-01-05T01:12:48.828Z",
    "findingClass": "THREAT",
    "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",
    "indicator": {
      "signatures": [
        {
          "yaraRuleSignature": {
            "yaraRule": "M_Backdoor_REDSONJA_4"
          },
          "signatureType": "SIGNATURE_TYPE_FILE",
        },
        {
          "yaraRuleSignature": {
            "yaraRule": "M_Backdoor_REDSONJA_3"
          },
          "signatureType": "SIGNATURE_TYPE_FILE",
        }
      ]
    },
    "mute": "UNDEFINED",
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
    "parentDisplayName": "Virtual Machine Threat Detection",
    "files": [
      {
        "diskPath": {
          "partition_uuid": "b411dc99-f0a0-4c87-9e05-184977be8539",
          "relative_path": "RELATIVE_PATH"
        },
        "size": "21238",
        "sha256": "65d860160bdc9b98abf72407e14ca40b609417de7939897d3b58d55787aaef69",
        "hashedSize": "21238"
      }
    ],
    "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
    "severity": "HIGH",
    "sourceDisplayName": "Virtual Machine Threat Detection",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",
    "display_name": "DISPLAY_NAME",
    "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "project_display_name": "DISPLAY_NAME",
    "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "parent_display_name": "DISPLAY_NAME",
    "type": "google.compute.Instance",
    "folders": []
  },
  "sourceProperties": {}
}

Altere o estado das descobertas

Quando resolve ameaças identificadas pela Deteção de ameaças de VMs, o serviço não define automaticamente o estado de uma descoberta como Inativo em análises subsequentes. Devido à natureza do nosso domínio de ameaças, a deteção de ameaças de VMs não consegue determinar se uma ameaça foi mitigada ou se foi alterada para evitar a deteção.

Quando as suas equipas de segurança considerarem que uma ameaça foi mitigada, podem realizar os seguintes passos para alterar o estado das descobertas para inativo.

Aceda à página Resultados do Security Command Center na Google Cloud consola.

Aceda a Conclusões
Junto a Vista por, clique em Tipo de origem.
Na lista Tipo de origem, selecione Deteção de ameaças de máquinas virtuais. É preenchida uma tabela com as conclusões para o tipo de origem selecionado.
Selecione a caixa de verificação junto às conclusões resolvidas.
Clique em Alterar estado ativo.
Clique em Inativo.

Ative ou desative a deteção de ameaças de MV para o Google Cloud

Esta secção descreve como ativar ou desativar a deteção de ameaças de VMs para VMs do Compute Engine. Para ativar a Deteção de ameaças de VMs para VMs da AWS, consulte o artigo Ative a Deteção de ameaças de VMs para a AWS.

A Deteção de ameaças de VMs está ativada por predefinição para todos os clientes que se inscrevem no Security Command Center Premium após 15 de julho de 2022, data em que este serviço ficou disponível de forma geral. Se necessário, pode desativá-lo ou reativá-lo manualmente para o seu projeto ou organização.

Quando ativa a Deteção de ameaças de VMs numa organização ou num projeto, o serviço analisa automaticamente todos os recursos suportados nessa organização ou projeto. Por outro lado, quando desativa a deteção de ameaças de VMs numa organização ou num projeto, o serviço deixa de analisar todos os recursos suportados na mesma.

Para ativar ou desativar a deteção de ameaças de VMs, faça o seguinte:

Consola

Na Google Cloud consola, aceda à página Ativação do serviço de deteção de ameaças da máquina virtual.

Aceda à ativação de serviços
Selecione a sua organização ou projeto.
No separador Ativação de serviços, na coluna Deteção de ameaças de máquinas virtuais, selecione o estado de ativação da organização, da pasta ou do projeto que quer modificar e, de seguida, selecione uma das seguintes opções:
- Ativar: ative a deteção de ameaças de MV
- Desativar: desative a deteção de ameaças de VMs
- Herdar: herdar o estado de ativação da pasta principal ou da organização; disponível apenas para projetos e pastas

gcloud

O comando gcloud scc manage services update atualiza o estado de um serviço ou módulo do Security Command Center.

Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:

RESOURCE_TYPE: o tipo de recurso a atualizar (organization, folder ou project)
RESOURCE_ID: o identificador numérico da organização, da pasta ou do projeto a atualizar. Para projetos, também pode usar o ID do projeto alfanumérico
NEW_STATE: ENABLED para ativar a Deteção de ameaças de VMs; DISABLED para desativar a Deteção de ameaças de VMs; ou INHERITED para herdar o estado de ativação do recurso principal (válido apenas para projetos e pastas)

Execute o comando gcloud scc manage services update:

Linux, macOS ou Cloud Shell

gcloud scc manage services update vm-threat-detection \
    --RESOURCE_TYPE=RESOURCE_ID \
    --enablement-state=NEW_STATE

Windows (PowerShell)

gcloud scc manage services update vm-threat-detection `
    --RESOURCE_TYPE=RESOURCE_ID `
    --enablement-state=NEW_STATE

Windows (cmd.exe)

gcloud scc manage services update vm-threat-detection ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --enablement-state=NEW_STATE

Deve receber uma resposta semelhante à seguinte:

effectiveEnablementState: ENABLED
modules:
  CRYPTOMINING_HASH:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CRYPTOMINING_YARA:
    effectiveEnablementState: ENABLED
  KERNEL_INTEGRITY_TAMPERING:
    effectiveEnablementState: ENABLED
  KERNEL_MEMORY_TAMPERING:
    effectiveEnablementState: ENABLED
  MALWARE_DISK_SCAN_YARA:
    effectiveEnablementState: ENABLED
name: projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection
updateTime: '2024-08-05T22:32:01.536452397Z'

REST

O método RESOURCE_TYPE.locations.securityCenterServices.patch da API Security Command Center Management atualiza o estado de um serviço ou um módulo do Security Command Center.

Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

RESOURCE_TYPE: o tipo de recurso a atualizar (organizations, folders ou projects)
QUOTA_PROJECT: o ID do projeto a usar para faturação e acompanhamento de quotas
RESOURCE_ID: o identificador numérico da organização, da pasta ou do projeto a atualizar. Para projetos, também pode usar o ID do projeto alfanumérico
NEW_STATE: ENABLED para ativar a Deteção de ameaças de VMs; DISABLED para desativar a Deteção de ameaças de VMs; ou INHERITED para herdar o estado de ativação do recurso principal (válido apenas para projetos e pastas)

Método HTTP e URL:

PATCH https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/vm-threat-detection?updateMask=intendedEnablementState

Corpo JSON do pedido:

{
  "intendedEnablementState": "NEW_STATE"
}

Para enviar o seu pedido, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Nota: O comando seguinte pressupõe que tem sessão iniciada na CLI gcloud com a sua conta de utilizador executando gcloud init ou gcloud auth login, ou usando o Cloud Shell, que inicia automaticamente sessão na CLI gcloud. Pode verificar a conta atualmente ativa executando o comando gcloud auth list.

Guarde o corpo do pedido num ficheiro com o nome request.json, e execute o seguinte comando:

curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: QUOTA_PROJECT" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/vm-threat-detection?updateMask=intendedEnablementState"

PowerShell (Windows)

Nota: O comando seguinte pressupõe que iniciou sessão na CLI do Google Cloud com a sua conta de utilizador executando gcloud init ou gcloud auth login .gcloud Pode verificar a conta atualmente ativa executando o comando gcloud auth list.

Guarde o corpo do pedido num ficheiro com o nome request.json, e execute o seguinte comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "QUOTA_PROJECT" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/vm-threat-detection?updateMask=intendedEnablementState" | Select-Object -Expand Content

Deve receber uma resposta JSON semelhante à seguinte:

{
  "name": "projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "CRYPTOMINING_YARA": {
      "effectiveEnablementState": "ENABLED"
    },
    "KERNEL_MEMORY_TAMPERING": {
      "effectiveEnablementState": "ENABLED"
    },
    "KERNEL_INTEGRITY_TAMPERING": {
      "effectiveEnablementState": "ENABLED"
    },
    "CRYPTOMINING_HASH": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "MALWARE_DISK_SCAN_YARA": {
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2024-08-05T22:32:01.536452397Z"
}

Ative ou desative um módulo de deteção de ameaças de VMs

Para ativar ou desativar um detetor de deteção de ameaças de VMs individual, também conhecido como um módulo, faça o seguinte. As alterações podem demorar até uma hora a entrar em vigor.

Para obter informações sobre todas as conclusões de ameaças da Deteção de ameaças de VMs e os módulos que as geram, consulte o artigo Conclusões de ameaças.

Consola

A consola permite-lhe ativar ou desativar módulos de deteção de ameaças de MV ao nível da organização. Google Cloud Para ativar ou desativar os módulos de deteção de ameaças de VMs ao nível da pasta ou do projeto, use a CLI gcloud ou a API REST.

Na Google Cloud consola, aceda à página Módulos de deteção de ameaças da máquina virtual.

Aceda a Módulos
Clique no separador do fornecedor de nuvem para o qual quer ativar ou desativar módulos, por exemplo, Google Cloud.
No separador Módulos, na coluna Estado, selecione o estado atual do módulo que quer ativar ou desativar e, de seguida, selecione uma das seguintes opções:
- Ativar: ative o módulo.
- Desativar: desative o módulo.

gcloud

O comando gcloud scc manage services update atualiza o estado de um serviço ou módulo do Security Command Center.

Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:

RESOURCE_TYPE: o tipo de recurso a atualizar (organization, folder ou project)
RESOURCE_ID: o identificador numérico da organização, da pasta ou do projeto a atualizar. Para projetos, também pode usar o ID do projeto alfanumérico
MODULE_NAME: o nome do módulo a ativar ou desativar; para ver os valores válidos, consulte Resultados de ameaças
NEW_STATE: ENABLED para ativar o módulo; DISABLED para desativar o módulo; ou INHERITED para herdar o estado de ativação do recurso principal (válido apenas para projetos e pastas)

Guarde o seguinte conteúdo num ficheiro denominado request.json:

{
  "MODULE_NAME": {
    "intendedEnablementState": "NEW_STATE"
  }
}

Execute o comando gcloud scc manage services update:

Linux, macOS ou Cloud Shell

gcloud scc manage services update vm-threat-detection \
    --RESOURCE_TYPE=RESOURCE_ID \
    --enablement-state=ENABLED \  
    --module-config-file=request.json

Windows (PowerShell)

gcloud scc manage services update vm-threat-detection `
    --RESOURCE_TYPE=RESOURCE_ID `
    --enablement-state=ENABLED \  
    --module-config-file=request.json

Windows (cmd.exe)

gcloud scc manage services update vm-threat-detection ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --enablement-state=ENABLED \  
    --module-config-file=request.json

Deve receber uma resposta semelhante à seguinte:

effectiveEnablementState: ENABLED
modules:
  CRYPTOMINING_HASH:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CRYPTOMINING_YARA:
    effectiveEnablementState: ENABLED
  KERNEL_INTEGRITY_TAMPERING:
    effectiveEnablementState: ENABLED
  KERNEL_MEMORY_TAMPERING:
    effectiveEnablementState: ENABLED
  MALWARE_DISK_SCAN_YARA:
    effectiveEnablementState: ENABLED
name: projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection
updateTime: '2024-08-05T22:32:01.536452397Z'

REST

O método RESOURCE_TYPE.locations.securityCenterServices.patch da API Security Command Center Management atualiza o estado de um serviço ou um módulo do Security Command Center.

Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

RESOURCE_TYPE: o tipo de recurso a atualizar (organizations, folders ou projects)
QUOTA_PROJECT: o ID do projeto a usar para faturação e acompanhamento de quotas
RESOURCE_ID: o identificador numérico da organização, da pasta ou do projeto a atualizar. Para projetos, também pode usar o ID do projeto alfanumérico
MODULE_NAME: o nome do módulo a ativar ou desativar; para ver os valores válidos, consulte Resultados de ameaças
NEW_STATE: ENABLED para ativar o módulo; DISABLED para desativar o módulo; ou INHERITED para herdar o estado de ativação do recurso principal (válido apenas para projetos e pastas)

Método HTTP e URL:

PATCH https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/vm-threat-detection?updateMask=modules

Corpo JSON do pedido:

{
  "modules": {
    "MODULE_NAME": {
      "intendedEnablementState": "NEW_STATE"
    }
  }
}

Para enviar o seu pedido, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Guarde o corpo do pedido num ficheiro com o nome request.json, e execute o seguinte comando:

curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: QUOTA_PROJECT" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/vm-threat-detection?updateMask=modules"

PowerShell (Windows)

Guarde o corpo do pedido num ficheiro com o nome request.json, e execute o seguinte comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "QUOTA_PROJECT" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/vm-threat-detection?updateMask=modules" | Select-Object -Expand Content

Deve receber uma resposta JSON semelhante à seguinte:

{
  "name": "projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "CRYPTOMINING_YARA": {
      "effectiveEnablementState": "ENABLED"
    },
    "KERNEL_MEMORY_TAMPERING": {
      "effectiveEnablementState": "ENABLED"
    },
    "KERNEL_INTEGRITY_TAMPERING": {
      "effectiveEnablementState": "ENABLED"
    },
    "CRYPTOMINING_HASH": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "MALWARE_DISK_SCAN_YARA": {
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2024-08-05T22:32:01.536452397Z"
}

Veja as definições dos módulos de deteção de ameaças de VMs

Para ver informações sobre todas as conclusões de ameaças da Deteção de ameaças de VMs e os módulos que as geram, consulte a tabela Conclusões de ameaças.

Consola

A Google Cloud consola permite-lhe ver as definições dos módulos de deteção de ameaças de VMs ao nível da organização. Para ver as definições dos módulos de deteção de ameaças de VMs ao nível da pasta ou do projeto, use a CLI gcloud ou a API REST.

Para ver as definições na Google Cloud consola, aceda à página Virtual Machine Threat Detection Modules.

Aceda a Módulos

gcloud

O comando gcloud scc manage services describe obtém o estado de um serviço ou um módulo do Security Command Center.

Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:

RESOURCE_TYPE: o tipo de recurso a obter (organization, folder ou project)
RESOURCE_ID: o identificador numérico da organização, da pasta ou do projeto a obter. Para projetos, também pode usar o ID do projeto alfanumérico

Execute o comando gcloud scc manage services describe:

Linux, macOS ou Cloud Shell

gcloud scc manage services describe vm-threat-detection \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud scc manage services describe vm-threat-detection `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud scc manage services describe vm-threat-detection ^
    --RESOURCE_TYPE=RESOURCE_ID

Deve receber uma resposta semelhante à seguinte:

effectiveEnablementState: ENABLED
modules:
  CRYPTOMINING_HASH:
    effectiveEnablementState: ENABLED
    intendedEnablementState: ENABLED
  CRYPTOMINING_YARA:
    effectiveEnablementState: ENABLED
  KERNEL_INTEGRITY_TAMPERING:
    effectiveEnablementState: ENABLED
  KERNEL_MEMORY_TAMPERING:
    effectiveEnablementState: ENABLED
  MALWARE_DISK_SCAN_YARA:
    effectiveEnablementState: ENABLED
name: projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection
updateTime: '2024-08-05T22:32:01.536452397Z'

REST

O método RESOURCE_TYPE.locations.securityCenterServices.get da API Security Command Center Management obtém o estado de um serviço ou módulo do Security Command Center.

Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

RESOURCE_TYPE: o tipo de recurso a obter (organizations, folders ou projects)
QUOTA_PROJECT: o ID do projeto a usar para faturação e acompanhamento de quotas
RESOURCE_ID: o identificador numérico da organização, da pasta ou do projeto a obter. Para projetos, também pode usar o ID do projeto alfanumérico

Método HTTP e URL:

GET https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/vm-threat-detection

Para enviar o seu pedido, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Execute o seguinte comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: QUOTA_PROJECT" \
     "https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/vm-threat-detection"

PowerShell (Windows)

Execute o seguinte comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "QUOTA_PROJECT" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/vm-threat-detection" | Select-Object -Expand Content

Deve receber uma resposta JSON semelhante à seguinte:

{
  "name": "projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection",
  "effectiveEnablementState": "ENABLED",
  "modules": {
    "CRYPTOMINING_YARA": {
      "effectiveEnablementState": "ENABLED"
    },
    "KERNEL_MEMORY_TAMPERING": {
      "effectiveEnablementState": "ENABLED"
    },
    "KERNEL_INTEGRITY_TAMPERING": {
      "effectiveEnablementState": "ENABLED"
    },
    "CRYPTOMINING_HASH": {
      "intendedEnablementState": "ENABLED",
      "effectiveEnablementState": "ENABLED"
    },
    "MALWARE_DISK_SCAN_YARA": {
      "effectiveEnablementState": "ENABLED"
    }
  },
  "updateTime": "2024-08-05T22:32:01.536452397Z"
}

Nomes de software e regras YARA para a deteção de mineração de criptomoedas

As listas seguintes incluem os nomes dos ficheiros binários e as regras YARA que acionam as deteções de mineração de criptomoedas. Para ver as listas, expanda os nós.

`Execution: Cryptocurrency Mining Hash Match`

Arionum CPU miner: software de mineração para a criptomoeda Arionum
Avermore: software de mineração para criptomoedas baseadas em scrypt
Beam CUDA miner: software de mineração para criptomoedas baseadas em Equihash
Beam OpenCL miner: software de mineração para criptomoedas baseadas em Equihash
BFGMiner: software de mineração baseado em ASIC/FPGA para Bitcoin
BMiner: software de mineração para várias criptomoedas
Cast XMR: software de mineração para criptomoedas baseadas em CryptoNight
ccminer: software de mineração baseado em CUDA
cgminer: software de mineração baseado em ASIC/FPGA para Bitcoin
Claymore's miner: software de mineração baseado em GPU para várias criptomoedas
CPUMiner: família de software de mineração baseado na CPU
CryptoDredge: família de software de mineração para CryptoDredge
CryptoGoblin: software de mineração para criptomoedas baseadas em CryptoNight
DamoMiner: software de mineração baseado em GPU para Ethereum e outras criptomoedas
DigitsMiner: software de mineração para o Digits
EasyMiner: software de mineração para bitcoin e outras criptomoedas
Ethminer: software de mineração para Ethereum e outras criptomoedas
EWBF: software de mineração para criptomoedas baseadas em Equihash
FinMiner: software de mineração para criptomoedas baseadas em Ethash e CryptoNight
Funakoshi Miner: software de mineração para criptomoedas Bitcoin-Gold
Geth: software de mineração para Ethereum
GMiner: software de mineração para várias criptomoedas
gominer: software de mineração para Decred
GrinGoldMiner: software de mineração para Grin
Hush: software de mineração para criptomoedas baseadas em Zcash
IxiMiner: software de mineração para Ixian
kawpowminer: software de mineração para Ravencoin
Komodo: família de software de mineração para Komodo
lolMiner: software de mineração para várias criptomoedas
lukMiner: software de mineração para várias criptomoedas
MinerGate: software de mineração para várias criptomoedas
miniZ: software de mineração para criptomoedas baseadas em Equihash
Mirai: software malicioso que pode ser usado para minar criptomoedas
MultiMiner: software de mineração para várias criptomoedas
nanominer: software de mineração para várias criptomoedas
NBMiner: software de mineração para várias criptomoedas
Nevermore: software de mineração para várias criptomoedas
nheqminer: software de mineração para NiceHash
NinjaRig: software de mineração para criptomoedas baseadas em Argon2
NodeCore PoW CUDA Miner: software de mineração para VeriBlock
NoncerPro: software de mineração para Nimiq
Optiminer/Equihash: software de mineração para criptomoedas baseadas em Equihash
PascalCoin: família de software de mineração para PascalCoin
PhoenixMiner: software de mineração para Ethereum
Pooler CPU Miner: software de mineração para Litecoin e Bitcoin
ProgPoW Miner: software de mineração para Ethereum e outras criptomoedas
rhminer: software de mineração para PascalCoin
sgminer: software de mineração para criptomoedas baseadas em scrypt
simplecoin: família de software de mineração para SimpleCoin baseada em scrypt
Skypool Nimiq Miner: software de mineração para Nimiq
SwapReferenceMiner: software de mineração para Grin
Team Red Miner: software de mineração baseado em AMD para várias criptomoedas
T-Rex: software de mineração para várias criptomoedas
TT-Miner: software de mineração para várias criptomoedas
Ubqminer: software de mineração para criptomoedas baseadas em Ubqhash
VersusCoin: software de mineração para VersusCoin
violetminer: software de mineração para criptomoedas baseadas em Argon2
webchain-miner: software de mineração para MintMe
WildRig: software de mineração para várias criptomoedas
XCASH_ALL_Miner: software de mineração para XCASH
xFash: software de mineração para o MinerGate
XLArig: software de mineração para criptomoedas baseadas em CryptoNight
XMRig: software de mineração para várias criptomoedas
Xmr-Stak: software de mineração para criptomoedas baseadas em CryptoNight
XMR-Stak TurtleCoin: software de mineração para criptomoedas baseadas em CryptoNight
Xtl-Stak: software de mineração para criptomoedas baseadas em CryptoNight
Yam Miner: software de mineração para o MinerGate
YCash: software de mineração para YCash
ZCoin: software de mineração para ZCoin/Fire
Zealot/Enemy: software de mineração para várias criptomoedas
Sinal de minerador de criptomoedas¹

¹ Este nome de ameaça genérico indica que um minerador de criptomoedas desconhecido pode estar a operar na VM, mas a deteção de ameaças de VMs não tem informações específicas sobre o minerador.

`Execution: Cryptocurrency Mining YARA Rule`

YARA_RULE1: corresponde ao software de mineração para Monero
YARA_RULE9: corresponde a software de mineração que usa a cifra Blake2 e AES
YARA_RULE10: corresponde a software de mineração que usa a rotina de prova de trabalho CryptoNight
YARA_RULE15: corresponde ao software de mineração para NBMiner
YARA_RULE17: corresponde a software de mineração que usa a rotina de prova de trabalho Scrypt
YARA_RULE18: corresponde a software de mineração que usa a rotina de prova de trabalho Scrypt
YARA_RULE19: corresponde ao software de mineração para BFGMiner
YARA_RULE24: corresponde ao software de mineração para XMR-Stak
YARA_RULE25: corresponde ao software de mineração para XMRig
DYNAMIC_YARA_RULE_BFGMINER_2: corresponde ao software de mineração para BFGMiner

O que se segue?

Saiba mais sobre a Deteção de ameaças de MV.
Saiba como permitir que a Deteção de ameaças de VMs analise VMs em perímetros do VPC Service Controls.
Saiba como ativar a deteção de ameaças de VMs para o AWS.
Saiba como responder a resultados de ameaças do Compute Engine.
Consulte o índice de resultados de ameaças.

Use a Deteção de ameaças da máquina virtual Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Vista geral

Antes de começar

Teste a deteção de ameaças de VMs

Reveja as conclusões na Google Cloud consola

Gravidade

Deteções combinadas

Exemplo de formatos de localização

Defense Evasion: Rootkit

Defense Evasion: Unexpected ftrace handler

Defense Evasion: Unexpected interrupt handler

Defense Evasion: Unexpected kernel modules

Defense Evasion: Unexpected kernel read-only data modification

Defense Evasion: Unexpected kprobe handler

Defense Evasion: Unexpected processes in runqueue

Defense Evasion: Unexpected system call handler

Execution: Cryptocurrency Mining Combined Detection

Execution: Cryptocurrency Mining Hash Match Detection

Execution: Cryptocurrency Mining YARA Rule

Malware: Malicious file on disk (YARA)

Altere o estado das descobertas

Ative ou desative a deteção de ameaças de MV para o Google Cloud

Consola

gcloud

Linux, macOS ou Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS ou Cloud Shell)

PowerShell (Windows)

Ative ou desative um módulo de deteção de ameaças de VMs

Consola

gcloud

Linux, macOS ou Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS ou Cloud Shell)

PowerShell (Windows)

Veja as definições dos módulos de deteção de ameaças de VMs

Consola

gcloud

Linux, macOS ou Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS ou Cloud Shell)

PowerShell (Windows)

Nomes de software e regras YARA para a deteção de mineração de criptomoedas

Execution: Cryptocurrency Mining Hash Match

Execution: Cryptocurrency Mining YARA Rule

O que se segue?

Use a Deteção de ameaças da máquina virtual

`Defense Evasion: Rootkit`

`Defense Evasion: Unexpected ftrace handler`

`Defense Evasion: Unexpected interrupt handler`

`Defense Evasion: Unexpected kernel modules`

`Defense Evasion: Unexpected kernel read-only data modification`

`Defense Evasion: Unexpected kprobe handler`

`Defense Evasion: Unexpected processes in runqueue`

`Defense Evasion: Unexpected system call handler`

`Execution: Cryptocurrency Mining Combined Detection`

`Execution: Cryptocurrency Mining Hash Match Detection`

`Execution: Cryptocurrency Mining YARA Rule`

`Malware: Malicious file on disk (YARA)`

`Execution: Cryptocurrency Mining Hash Match`

`Execution: Cryptocurrency Mining YARA Rule`