Diese Seite wurde von der Cloud Translation API übersetzt.

Bedrohungserkennung für virtuelle Maschinen verwenden

Auf dieser Seite wird beschrieben, wie Sie Ergebnisse von VM Threat Detection ansehen und verwalten. Außerdem erfahren Sie, wie Sie den Dienst und seine Module aktivieren oder deaktivieren.

Übersicht

Virtual Machine Threat Detection ist ein integrierter Dienst von Security Command Center, der in den Stufen „Enterprise“ und „Premium“ verfügbar ist. Dieser Dienst scannt virtuelle Maschinen, um potenziell schädliche Anwendungen wie Software zum Mining von Kryptowährungen, Kernel-Mode-Rootkits und Malware zu erkennen, die in kompromittierten Cloud-Umgebungen ausgeführt werden.

VM Threat Detection ist Teil der Bedrohungserkennungs-Suite von Security Command Center und ergänzt die vorhandenen Funktionen von Event Threat Detection und Container Threat Detection.

Weitere Informationen finden Sie unter VM Threat Detection – Übersicht.

Kosten

Nach der Registrierung für die Premium-Version des Security Command Center entstehen keine zusätzlichen Kosten für die Verwendung von VM Threat Detection.

Hinweise

Um die Berechtigungen zu erhalten, die Sie zum Verwalten des Dienstes „Virtual Machine Threat Detection“ und seiner Module benötigen, bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Security Center Management Admin (roles/securitycentermanagement.admin) für die Organisation, den Ordner oder das Projekt zuzuweisen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

VM Threat Detection testen

Zum Testen der Kryptowährung-Mining-Erkennung von VM Threat Detection können Sie eine Kryptowährung-Mining-Anwendung auf Ihrer VM ausführen. Eine Liste der Binärnamen und YARA-Regeln, die Ergebnisse auslösen, finden Sie unter Softwarenamen und YARA-Regeln. Wenn Sie Mining-Anwendungen installieren und testen, wird empfohlen, dass Sie Anwendungen nur in einer isolierten Testumgebung ausführen, ihre Verwendung genau überwachen und sie nach dem Testen vollständig entfernen.

Zum Testen der Malware-Erkennung von VM Threat Detection können Sie Malware-Anwendungen auf Ihre VM herunterladen. Wenn Sie Malware herunterladen, empfehlen wir, dies in einer isolierten Testumgebung zu tun und sie nach dem Testen vollständig zu entfernen.

Ergebnisse in der Google Cloud -Console ansehen

So prüfen Sie die Ergebnisse von VM Threat Detection in der Google Cloud Console:

Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.
Zu Ergebnissen
Wählen Sie Ihr Google Cloud Projekt oder Ihre Organisation aus.
Wählen Sie im Abschnitt Schnellfilter im Unterabschnitt Anzeigename der Quelle die Option Bedrohungserkennung für virtuelle Maschinen aus. Die Ergebnisse der Ergebnisabfrage werden aktualisiert, sodass nur die Ergebnisse aus dieser Quelle angezeigt werden.
Klicken Sie in der Spalte Kategorie auf den Namen des Ergebnisses, um die Details eines bestimmten Ergebnisses aufzurufen. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.
Sehen Sie sich auf dem Tab Zusammenfassung die Details des Ergebnisses an, einschließlich Informationen dazu, was erkannt wurde, welche Ressource betroffen ist und – falls verfügbar – welche Schritte Sie unternehmen können, um das Problem zu beheben.
Optional: Klicken Sie auf den Tab JSON, um die vollständige JSON-Definition des Ergebnisses aufzurufen.

Ausführlichere Informationen dazu, wie Sie auf die einzelnen Ergebnisse von VM Threat Detection reagieren, finden Sie unter VM Threat Detection-Antwort.

Eine Liste der Ergebnisse von VM Threat Detection finden Sie unter Ergebnisse.

Schweregrad

VM Threat Detection-Ergebnissen wird je nach Vertrauenswürdigkeit der Bedrohungsklassifizierung der Schweregrad Hoch, Mittel oder Niedrig zugewiesen.

Kombinierte Erkennungen

Kombinierte Erkennungen treten auf, wenn mehrere Ergebniskategorien innerhalb eines Tages erkannt werden. Die Ergebnisse können von einer oder mehreren schädlichen Anwendungen verursacht worden sein. Beispiel: Eine einzelne Anwendung kann gleichzeitig Execution: Cryptocurrency Mining YARA Rule- und Execution: Cryptocurrency Mining Hash Match-Ergebnisse auslösen. Es werden aber alle Bedrohungen, die von einer einzigen Quelle innerhalb desselben Tages erkannt wurden, zu einem Ergebnis, der kombinierten Erkennung, zusammengefasst. Wenn in den folgenden Tagen weitere Bedrohungen gefunden werden, werden diese mit neuen Ergebnissen verknüpft, auch falls es sich um identische Bedrohungen handelt.

Ein Beispiel für ein kombiniertes Erkennungsergebnis finden Sie unter Beispiele für Ergebnisformate.

Beispiele für Ergebnisformate

In diesem Abschnitt finden Sie Beispiele für die JSON-Ausgabe von VM Threat Detection-Ergebnissen. Diese Ausgabe wird angezeigt, wenn Sie Ergebnisse exportieren und dabei dieGoogle Cloud -Konsole verwenden oder Ergebnisse auflisten und dabei die Security Command Center API oder die Google Cloud CLI verwenden.

Die Beispiele auf dieser Seite zeigen verschiedene Arten von Ergebnissen. Jedes Beispiel enthält nur die Felder, die für den jeweiligen Ergebnistyp am relevantesten sind. Eine vollständige Liste der Felder, die in einem Ergebnis verfügbar sind, finden Sie in der Security Command Center API-Dokumentation für die Ressource Finding.

Sie können Ergebnisse über die Security Command Center Console exportieren oder Ergebnisse über die Security Command Center API auflisten.

Wenn Sie sich die Beispielergebnisse ansehen möchten, maximieren Sie einen oder mehrere der folgenden Knoten. Informationen zu den einzelnen Feldern im Ergebnis finden Sie unter Finding.

`Defense Evasion: Rootkit`

Dieses Beispiel für die Ausgabe zeigt einen Fund eines bekannten Kernel-Mode-Rootkits: Diamorphine.

{   "findings": {     "access": {},     "assetDisplayName": "DISPLAY_NAME",     "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",     "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",     "category": "Defense Evasion: Rootkit",     "createTime": "2023-01-12T00:39:33.007Z",     "database": {},     "eventTime": "2023-01-11T21:24:05.326Z",     "exfiltration": {},     "findingClass": "THREAT",     "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",     "indicator": {},     "kernelRootkit": {       "name": "Diamorphine",       "unexpected_kernel_code_pages": true,       "unexpected_system_call_handler": true     },     "kubernetes": {},     "mitreAttack": {       "version": "9"     },     "mute": "UNDEFINED",     "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",     "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",     "parentDisplayName": "Virtual Machine Threat Detection",     "processes": [],     "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",     "severity": "HIGH",     "sourceDisplayName": "Virtual Machine Threat Detection",     "state": "ACTIVE",     "vulnerability": {},     "workflowState": "NEW"   },   "resource": {     "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",     "display_name": "DISPLAY_NAME",     "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",     "project_display_name": "PROJECT_ID",     "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",     "parent_display_name": "DISPLAY_NAME",     "type": "google.compute.Instance",     "folders": []   },   "sourceProperties": {} }

`Defense Evasion: Unexpected ftrace handler`

  {     "findings": {       "access": {},       "assetDisplayName": "DISPLAY_NAME",       "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",       "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",       "category": "Defense Evasion: Unexpected ftrace handler",       "createTime": "2023-01-12T00:39:33.007Z",       "database": {},       "eventTime": "2023-01-11T21:24:05.326Z",       "exfiltration": {},       "findingClass": "THREAT",       "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",       "indicator": {},       "kernelRootkit": {},       "kubernetes": {},       "mitreAttack": {         "version": "9"       },       "mute": "UNDEFINED",       "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",       "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",       "parentDisplayName": "Virtual Machine Threat Detection",       "processes": [],       "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",       "severity": "HIGH",       "sourceDisplayName": "Virtual Machine Threat Detection",       "state": "ACTIVE",       "vulnerability": {},       "workflowState": "NEW"     },     "resource": {       "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",       "display_name": "DISPLAY_NAME",       "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",       "project_display_name": "PROJECT_ID",       "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",       "parent_display_name": "DISPLAY_NAME",       "type": "google.compute.Instance",       "folders": []     },     "sourceProperties": {}   }

`Defense Evasion: Unexpected interrupt handler`

  {     "findings": {       "access": {},       "assetDisplayName": "DISPLAY_NAME",       "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",       "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",       "category": "Defense Evasion: Unexpected interrupt handler",       "createTime": "2023-01-12T00:39:33.007Z",       "database": {},       "eventTime": "2023-01-11T21:24:05.326Z",       "exfiltration": {},       "findingClass": "THREAT",       "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",       "indicator": {},       "kernelRootkit": {},       "kubernetes": {},       "mitreAttack": {         "version": "9"       },       "mute": "UNDEFINED",       "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",       "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",       "parentDisplayName": "Virtual Machine Threat Detection",       "processes": [],       "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",       "severity": "HIGH",       "sourceDisplayName": "Virtual Machine Threat Detection",       "state": "ACTIVE",       "vulnerability": {},       "workflowState": "NEW"     },     "resource": {       "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",       "display_name": "DISPLAY_NAME",       "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",       "project_display_name": "PROJECT_ID",       "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",       "parent_display_name": "DISPLAY_NAME",       "type": "google.compute.Instance",       "folders": []     },     "sourceProperties": {}   }

`Defense Evasion: Unexpected kernel modules`

  {     "findings": {       "access": {},       "assetDisplayName": "DISPLAY_NAME",       "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",       "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",       "category": "Defense Evasion: Unexpected kernel modules",       "createTime": "2023-01-12T00:39:33.007Z",       "database": {},       "eventTime": "2023-01-11T21:24:05.326Z",       "exfiltration": {},       "findingClass": "THREAT",       "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",       "indicator": {},       "kernelRootkit": {},       "kubernetes": {},       "mitreAttack": {         "version": "9"       },       "mute": "UNDEFINED",       "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",       "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",       "parentDisplayName": "Virtual Machine Threat Detection",       "processes": [],       "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",       "severity": "HIGH",       "sourceDisplayName": "Virtual Machine Threat Detection",       "state": "ACTIVE",       "vulnerability": {},       "workflowState": "NEW"     },     "resource": {       "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",       "display_name": "DISPLAY_NAME",       "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",       "project_display_name": "PROJECT_ID",       "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",       "parent_display_name": "DISPLAY_NAME",       "type": "google.compute.Instance",       "folders": []     },     "sourceProperties": {}   }

`Defense Evasion: Unexpected kernel read-only data modification`

  {     "findings": {       "access": {},       "assetDisplayName": "DISPLAY_NAME",       "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",       "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",       "category": "Defense Evasion: Unexpected kernel read-only data modification",       "createTime": "2023-01-12T00:39:33.007Z",       "database": {},       "eventTime": "2023-01-11T21:24:05.326Z",       "exfiltration": {},       "findingClass": "THREAT",       "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",       "indicator": {},       "kernelRootkit": {},       "kubernetes": {},       "mitreAttack": {         "version": "9"       },       "mute": "UNDEFINED",       "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",       "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",       "parentDisplayName": "Virtual Machine Threat Detection",       "processes": [],       "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",       "severity": "HIGH",       "sourceDisplayName": "Virtual Machine Threat Detection",       "state": "ACTIVE",       "vulnerability": {},       "workflowState": "NEW"     },     "resource": {       "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",       "display_name": "DISPLAY_NAME",       "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",       "project_display_name": "PROJECT_ID",       "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",       "parent_display_name": "DISPLAY_NAME",       "type": "google.compute.Instance",       "folders": []     },     "sourceProperties": {}   }

`Defense Evasion: Unexpected kprobe handler`

  {     "findings": {       "access": {},       "assetDisplayName": "DISPLAY_NAME",       "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",       "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",       "category": "Defense Evasion: Unexpected kprobe handler",       "createTime": "2023-01-12T00:39:33.007Z",       "database": {},       "eventTime": "2023-01-11T21:24:05.326Z",       "exfiltration": {},       "findingClass": "THREAT",       "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",       "indicator": {},       "kernelRootkit": {},       "kubernetes": {},       "mitreAttack": {         "version": "9"       },       "mute": "UNDEFINED",       "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",       "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",       "parentDisplayName": "Virtual Machine Threat Detection",       "processes": [],       "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",       "severity": "HIGH",       "sourceDisplayName": "Virtual Machine Threat Detection",       "state": "ACTIVE",       "vulnerability": {},       "workflowState": "NEW"     },     "resource": {       "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",       "display_name": "DISPLAY_NAME",       "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",       "project_display_name": "PROJECT_ID",       "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",       "parent_display_name": "DISPLAY_NAME",       "type": "google.compute.Instance",       "folders": []     },     "sourceProperties": {}   }

`Defense Evasion: Unexpected processes in runqueue`

  {     "findings": {       "access": {},       "assetDisplayName": "DISPLAY_NAME",       "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",       "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",       "category": "Defense Evasion: Unexpected processes in runqueue",       "createTime": "2023-01-12T00:39:33.007Z",       "database": {},       "eventTime": "2023-01-11T21:24:05.326Z",       "exfiltration": {},       "findingClass": "THREAT",       "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",       "indicator": {},       "kernelRootkit": {},       "kubernetes": {},       "mitreAttack": {         "version": "9"       },       "mute": "UNDEFINED",       "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",       "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",       "parentDisplayName": "Virtual Machine Threat Detection",       "processes": [],       "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",       "severity": "HIGH",       "sourceDisplayName": "Virtual Machine Threat Detection",       "state": "ACTIVE",       "vulnerability": {},       "workflowState": "NEW"     },     "resource": {       "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",       "display_name": "DISPLAY_NAME",       "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",       "project_display_name": "PROJECT_ID",       "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",       "parent_display_name": "DISPLAY_NAME",       "type": "google.compute.Instance",       "folders": []     },     "sourceProperties": {}   }

`Defense Evasion: Unexpected system call handler`

  {     "findings": {       "access": {},       "assetDisplayName": "DISPLAY_NAME",       "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",       "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",       "category": "Defense Evasion: Unexpected system call handler",       "createTime": "2023-01-12T00:39:33.007Z",       "database": {},       "eventTime": "2023-01-11T21:24:05.326Z",       "exfiltration": {},       "findingClass": "THREAT",       "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",       "indicator": {},       "kernelRootkit": {},       "kubernetes": {},       "mitreAttack": {         "version": "9"       },       "mute": "UNDEFINED",       "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",       "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",       "parentDisplayName": "Virtual Machine Threat Detection",       "processes": [],       "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",       "severity": "HIGH",       "sourceDisplayName": "Virtual Machine Threat Detection",       "state": "ACTIVE",       "vulnerability": {},       "workflowState": "NEW"     },     "resource": {       "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",       "display_name": "DISPLAY_NAME",       "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",       "project_display_name": "PROJECT_ID",       "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",       "parent_display_name": "DISPLAY_NAME",       "type": "google.compute.Instance",       "folders": []     },     "sourceProperties": {}   }

`Execution: Cryptocurrency Mining Combined Detection`

In diesem Beispiel wird eine Bedrohung angezeigt, die sowohl vom Modul CRYPTOMINING_HASH als auch vom Modul CRYPTOMINING_YARA erkannt wurde.

{   "findings": {     "access": {},     "assetDisplayName": "DISPLAY_NAME",     "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",     "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",     "category": "Execution: Cryptocurrency Mining Combined Detection",     "createTime": "2023-01-05T01:40:48.994Z",     "database": {},     "eventTime": "2023-01-05T01:39:36.876Z",     "exfiltration": {},     "findingClass": "THREAT",     "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",     "indicator": {       "signatures": [         {           "yaraRuleSignature": {             "yaraRule": "YARA_RULE1"           }         },         {           "yaraRuleSignature": {             "yaraRule": "YARA_RULE9"           }         },         {           "yaraRuleSignature": {             "yaraRule": "YARA_RULE10"           }         },         {           "yaraRuleSignature": {             "yaraRule": "YARA_RULE25"           }         },         {           "memoryHashSignature": {             "binaryFamily": "XMRig",             "detections": [               {                 "binary": "linux-x86-64_xmrig_6.12.2",                 "percentPagesMatched": 1               }             ]           }         }       ]     },     "kernelRootkit": {},     "kubernetes": {},     "mitreAttack": {       "version": "9"     },     "mute": "UNDEFINED",     "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",     "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",     "parentDisplayName": "Virtual Machine Threat Detection",     "processes": [       {         "binary": {           "path": "BINARY_PATH"         },         "script": {},         "args": [           "./miner",           ""         ],         "pid": "123",         "parentPid": "456",         "name": "miner"       }     ],     "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",     "severity": "HIGH",     "sourceDisplayName": "Virtual Machine Threat Detection",     "state": "ACTIVE",     "vulnerability": {},     "workflowState": "NEW"   },   "resource": {     "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",     "display_name": "DISPLAY_NAME",     "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",     "project_display_name": "DISPLAY_NAME",     "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",     "parent_display_name": "DISPLAY_NAME",     "type": "google.compute.Instance",     "folders": []   },   "sourceProperties": {} }

`Execution: Cryptocurrency Mining Hash Match Detection`

{   "findings": {     "access": {},     "assetDisplayName": "DISPLAY_NAME",     "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",     "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",     "category": "Execution: Cryptocurrency Mining Hash Match",     "createTime": "2023-01-05T01:40:48.994Z",     "database": {},     "eventTime": "2023-01-05T01:39:36.876Z",     "exfiltration": {},     "findingClass": "THREAT",     "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",     "indicator": {       "signatures": [         {           "memoryHashSignature": {             "binaryFamily": "XMRig",             "detections": [               {                 "binary": "linux-x86-64_xmrig_6.12.2",                 "percentPagesMatched": 1               }             ]           }         }       ]     },     "kernelRootkit": {},     "kubernetes": {},     "mitreAttack": {       "version": "9"     },     "mute": "UNDEFINED",     "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",     "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",     "parentDisplayName": "Virtual Machine Threat Detection",     "processes": [       {         "binary": {           "path": "BINARY_PATH"         },         "script": {},         "args": [           "./miner",           ""         ],         "pid": "123",         "parentPid": "456",         "name": "miner"       }     ],     "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",     "severity": "HIGH",     "sourceDisplayName": "Virtual Machine Threat Detection",     "state": "ACTIVE",     "vulnerability": {},     "workflowState": "NEW"   },   "resource": {     "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",     "display_name": "DISPLAY_NAME",     "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",     "project_display_name": "DISPLAY_NAME",     "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",     "parent_display_name": "DISPLAY_NAME",     "type": "google.compute.Instance",     "folders": []   },   "sourceProperties": {} }

`Execution: Cryptocurrency Mining YARA Rule`

{   "findings": {     "access": {},     "assetDisplayName": "DISPLAY_NAME",     "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",     "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",     "category": "Execution: Cryptocurrency Mining YARA Rule",     "createTime": "2023-01-05T00:37:38.450Z",     "database": {},     "eventTime": "2023-01-05T01:12:48.828Z",     "exfiltration": {},     "findingClass": "THREAT",     "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",     "indicator": {       "signatures": [         {           "yaraRuleSignature": {             "yaraRule": "YARA_RULE9"           }         },         {           "yaraRuleSignature": {             "yaraRule": "YARA_RULE10"           }         },         {           "yaraRuleSignature": {             "yaraRule": "YARA_RULE25"           }         }       ]     },     "kernelRootkit": {},     "kubernetes": {},     "mitreAttack": {       "version": "9"     },     "mute": "UNDEFINED",     "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",     "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",     "parentDisplayName": "Virtual Machine Threat Detection",     "processes": [       {         "binary": {           "path": "BINARY_PATH"         },         "script": {},         "args": [           "./miner",           ""         ],         "pid": "123",         "parentPid": "456",         "name": "miner"       }     ],     "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",     "severity": "HIGH",     "sourceDisplayName": "Virtual Machine Threat Detection",     "state": "ACTIVE",     "vulnerability": {},     "workflowState": "NEW"   },   "resource": {     "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",     "display_name": "DISPLAY_NAME",     "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",     "project_display_name": "DISPLAY_NAME",     "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",     "parent_display_name": "DISPLAY_NAME",     "type": "google.compute.Instance",     "folders": []   },   "sourceProperties": {} }

`Malware: Malicious file on disk (YARA)`

{   "findings": {     "assetDisplayName": "DISPLAY_NAME",     "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",     "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID",     "category": "Malware: Malicious file on disk (YARA)",     "createTime": "2023-01-05T00:37:38.450Z",     "eventTime": "2023-01-05T01:12:48.828Z",     "findingClass": "THREAT",     "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd",     "indicator": {       "signatures": [         {           "yaraRuleSignature": {             "yaraRule": "M_Backdoor_REDSONJA_4"           },           "signatureType": "SIGNATURE_TYPE_FILE",         },         {           "yaraRuleSignature": {             "yaraRule": "M_Backdoor_REDSONJA_3"           },           "signatureType": "SIGNATURE_TYPE_FILE",         }       ]     },     "mute": "UNDEFINED",     "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",     "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",     "parentDisplayName": "Virtual Machine Threat Detection",     "files": [       {         "diskPath": {           "partition_uuid": "b411dc99-f0a0-4c87-9e05-184977be8539",           "relative_path": "RELATIVE_PATH"         },         "size": "21238",         "sha256": "65d860160bdc9b98abf72407e14ca40b609417de7939897d3b58d55787aaef69",         "hashedSize": "21238"       }     ],     "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",     "severity": "HIGH",     "sourceDisplayName": "Virtual Machine Threat Detection",     "state": "ACTIVE",     "vulnerability": {},     "workflowState": "NEW"   },   "resource": {     "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID",     "display_name": "DISPLAY_NAME",     "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",     "project_display_name": "DISPLAY_NAME",     "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",     "parent_display_name": "DISPLAY_NAME",     "type": "google.compute.Instance",     "folders": []   },   "sourceProperties": {} }

Ergebnisstatus ändern

Wenn Sie von VM Threat Detection erkannte Bedrohungen beheben, legt der Dienst den Status eines Ergebnisses bei nachfolgenden Scans nicht automatisch auf Inaktiv fest. Aufgrund der Beschaffenheit unserer Bedrohungsdomain kann die VM Threat Detection nicht feststellen, ob eine Bedrohung beseitigt oder geändert wurde, um die Erkennung zu vermeiden.

Wenn Ihre Sicherheitsteams sicher sind, dass eine Bedrohung entschärft wurde, kann der Status der Ergebnisse mit folgenden Schritten auf "Inaktiv" geändert werden.

Rufen Sie in der Google Cloud Console die Seite Ergebnisse des Security Command Center auf.

Zu Ergebnissen
Klicken Sie neben Anzeigen nach auf Quelltyp.
Wählen Sie in der Liste Quelltyp die Option Bedrohungserkennung für virtuelle Maschinen aus. Die Tabelle enthält die Ergebnisse für den ausgewählten Quelltyp.
Aktivieren Sie das Kästchen neben den Ergebnissen, die bearbeitet wurden.
Klicken Sie auf Aktivitätsstatus ändern.
Klicken Sie auf Inaktiv.

VM Bedrohungserkennung für Google Cloudaktivieren oder deaktivieren

In diesem Abschnitt wird beschrieben, wie Sie die VM-Bedrohungserkennung für Compute Engine-VMs aktivieren oder deaktivieren. Informationen zum Aktivieren von VM Threat Detection für AWS-VMs finden Sie unter VM Threat Detection für AWS aktivieren.

Die VM-Bedrohungserkennung ist standardmäßig für alle Kunden aktiviert, die sich nach dem 15. Juli 2022 für Security Command Center Premium registrieren. An diesem Datum wurde der Dienst allgemein verfügbar. Bei Bedarf können Sie die Funktion für Ihr Projekt oder Ihre Organisation manuell deaktivieren oder wieder aktivieren.

Wenn Sie VM Threat Detection für eine Organisation oder ein Projekt aktivieren, scannt der Dienst automatisch alle unterstützten Ressourcen in dieser Organisation oder diesem Projekt. Umgekehrt gilt: Wenn Sie VM Bedrohungserkennung für eine Organisation oder ein Projekt deaktivieren, beendet der Dienst das Scannen aller unterstützten Ressourcen darin.

So aktivieren oder deaktivieren Sie VM Bedrohungserkennung:

Console

Rufen Sie in der Google Cloud Console die Seite Virtual Machine Threat Detection Service Enablement auf.

Zu „Service Enablement“
Wählen Sie Ihre Organisation oder das Projekt aus.
Wählen Sie auf dem Tab Service Enablement (Dienstaktivierung) in der Spalte Virtual Machine Threat Detection (Erkennung von VM-Bedrohungen) den Aktivierungsstatus der Organisation, des Ordners oder des Projekts aus, den Sie ändern möchten, und wählen Sie dann eine der folgenden Optionen aus:
- Aktivieren: VM Threat Detection aktivieren
- Deaktivieren: VM Threat Detection deaktivieren
- Übernehmen: Der Aktivierungsstatus wird vom übergeordneten Ordner oder der übergeordneten Organisation übernommen. Diese Option ist nur für Projekte und Ordner verfügbar.

gcloud

Mit dem Befehl gcloud scc manage services update wird der Status eines Security Command Center-Dienstes oder ‑Moduls aktualisiert.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

RESOURCE_TYPE: der Ressourcentyp, der aktualisiert werden soll (organization, folder oder project)
RESOURCE_ID: Die numerische Kennzeichnung der Organisation, des Ordners oder des Projekts, das aktualisiert werden soll. Bei Projekten können Sie auch die alphanumerische Projekt-ID verwenden.
NEW_STATE: ENABLED zum Aktivieren der VM Threat Detection, DISABLED zum Deaktivieren der VM Threat Detection oder INHERITED zum Übernehmen des Aktivierungsstatus der übergeordneten Ressource (nur für Projekte und Ordner gültig)

Führen Sie den Befehl gcloud scc manage services update aus:

Linux, macOS oder Cloud Shell

gcloud scc manage services update vm-threat-detection \     --RESOURCE_TYPE=RESOURCE_ID \     --enablement-state=NEW_STATE

Windows (PowerShell)

gcloud scc manage services update vm-threat-detection `     --RESOURCE_TYPE=RESOURCE_ID `     --enablement-state=NEW_STATE

Windows (cmd.exe)

gcloud scc manage services update vm-threat-detection ^     --RESOURCE_TYPE=RESOURCE_ID ^     --enablement-state=NEW_STATE

Sie sollten eine Antwort ähnlich der folgenden erhalten:

effectiveEnablementState: ENABLED modules:   CRYPTOMINING_HASH:     effectiveEnablementState: ENABLED     intendedEnablementState: ENABLED   CRYPTOMINING_YARA:     effectiveEnablementState: ENABLED   KERNEL_INTEGRITY_TAMPERING:     effectiveEnablementState: ENABLED   KERNEL_MEMORY_TAMPERING:     effectiveEnablementState: ENABLED   MALWARE_DISK_SCAN_YARA:     effectiveEnablementState: ENABLED name: projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection updateTime: '2024-08-05T22:32:01.536452397Z'

REST

Mit der Methode RESOURCE_TYPE.locations.securityCenterServices.patch der Security Command Center Management API wird der Status eines Security Command Center-Dienstes oder -Moduls aktualisiert.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

RESOURCE_TYPE: der Ressourcentyp, der aktualisiert werden soll (organizations, folders oder projects)
QUOTA_PROJECT: die Projekt-ID, die für die Abrechnung und das Kontingent-Tracking verwendet werden soll
RESOURCE_ID: Die numerische Kennzeichnung der Organisation, des Ordners oder des Projekts, das aktualisiert werden soll. Bei Projekten können Sie auch die alphanumerische Projekt-ID verwenden.
NEW_STATE: ENABLED zum Aktivieren der VM Threat Detection, DISABLED zum Deaktivieren der VM Threat Detection oder INHERITED zum Übernehmen des Aktivierungsstatus der übergeordneten Ressource (nur für Projekte und Ordner gültig)

HTTP-Methode und URL:

PATCH https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/vm-threat-detection?updateMask=intendedEnablementState

JSON-Text anfordern:

 {   "intendedEnablementState": "NEW_STATE" }

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

curl (Linux, macOS oder Cloud Shell)

Hinweis: Der folgende Befehl setzt voraus, dass Sie sich mit Ihrem Nutzerkonto bei der gcloud-Befehlszeile angemeldet haben. Dazu haben Sie gcloud init oder gcloud auth login ausgeführt oder die Cloud Shell genutzt, die Sie automatisch bei der gcloud-Befehlszeile anmeldet. Um herauszufinden, welches Konto gerade aktiv ist, führen Sie gcloud auth list aus.

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:

curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: QUOTA_PROJECT" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/vm-threat-detection?updateMask=intendedEnablementState"

PowerShell (Windows)

Hinweis: Der folgende Befehl setzt voraus, dass Sie sich mit Ihrem Nutzerkonto bei der gcloud-Befehlszeile angemeldet haben. Dazu führen Sie gcloud init oder gcloud auth login aus. Um herauszufinden, welches Konto gerade aktiv ist, führen Sie gcloud auth list aus.

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "QUOTA_PROJECT" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/vm-threat-detection?updateMask=intendedEnablementState" | Select-Object -Expand Content

Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:

 {   "name": "projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection",   "effectiveEnablementState": "ENABLED",   "modules": {     "CRYPTOMINING_YARA": {       "effectiveEnablementState": "ENABLED"     },     "KERNEL_MEMORY_TAMPERING": {       "effectiveEnablementState": "ENABLED"     },     "KERNEL_INTEGRITY_TAMPERING": {       "effectiveEnablementState": "ENABLED"     },     "CRYPTOMINING_HASH": {       "intendedEnablementState": "ENABLED",       "effectiveEnablementState": "ENABLED"     },     "MALWARE_DISK_SCAN_YARA": {       "effectiveEnablementState": "ENABLED"     }   },   "updateTime": "2024-08-05T22:32:01.536452397Z" }

VM Bedrohungserkennungs-Modul aktivieren oder deaktivieren

So aktivieren oder deaktivieren Sie einen einzelnen VM-Bedrohungserkennung-Detektor, auch Modul genannt: Änderungen an Einstellungen werden spätestens nach einer Stunde wirksam.

Informationen zu allen Bedrohungsergebnissen von VM Threat Detection und den Modulen, die sie generieren, finden Sie unter Bedrohungsergebnisse.

Console

In der Google Cloud -Konsole können Sie VM Bedrohungserkennung-Module auf Organisationsebene aktivieren oder deaktivieren. Verwenden Sie die gcloud CLI oder die REST API, um VM Bedrohungserkennung-Module auf Ordner- oder Projektebene zu aktivieren oder zu deaktivieren.

Rufen Sie in der Google Cloud Console die Seite Module zur Erkennung von VM-Bedrohungen auf.

Zu den Modulen
Klicken Sie auf den Tab für den Cloud-Anbieter, für den Sie Module aktivieren oder deaktivieren möchten, z. B. Google Cloud.
Wählen Sie auf dem Tab Module in der Spalte Status den aktuellen Status des Moduls aus, das Sie aktivieren oder deaktivieren möchten, und wählen Sie dann eine der folgenden Optionen aus:
- Aktivieren: Aktivieren Sie das Modul.
- Deaktivieren: Das Modul wird deaktiviert.

gcloud

Mit dem Befehl gcloud scc manage services update wird der Status eines Security Command Center-Dienstes oder ‑Moduls aktualisiert.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

RESOURCE_TYPE: der Ressourcentyp, der aktualisiert werden soll (organization, folder oder project)
RESOURCE_ID: Die numerische Kennzeichnung der Organisation, des Ordners oder des Projekts, das aktualisiert werden soll. Bei Projekten können Sie auch die alphanumerische Projekt-ID verwenden.
MODULE_NAME: der Name des Moduls, das aktiviert oder deaktiviert werden soll. Gültige Werte finden Sie unter Bedrohungsbefunde.
NEW_STATE: ENABLED zum Aktivieren des Moduls, DISABLED zum Deaktivieren des Moduls oder INHERITED zum Übernehmen des Aktivierungsstatus der übergeordneten Ressource (nur für Projekte und Ordner gültig)

Speichern Sie den folgenden Inhalt in einer Datei mit dem Namen request.json:

{   "MODULE_NAME": {     "intendedEnablementState": "NEW_STATE"   } }

Führen Sie den Befehl gcloud scc manage services update aus:

Linux, macOS oder Cloud Shell

gcloud scc manage services update vm-threat-detection \     --RESOURCE_TYPE=RESOURCE_ID \     --enablement-state=ENABLED \       --module-config-file=request.json

Windows (PowerShell)

gcloud scc manage services update vm-threat-detection `     --RESOURCE_TYPE=RESOURCE_ID `     --enablement-state=ENABLED \       --module-config-file=request.json

Windows (cmd.exe)

gcloud scc manage services update vm-threat-detection ^     --RESOURCE_TYPE=RESOURCE_ID ^     --enablement-state=ENABLED \       --module-config-file=request.json

Sie sollten eine Antwort ähnlich der folgenden erhalten:

effectiveEnablementState: ENABLED modules:   CRYPTOMINING_HASH:     effectiveEnablementState: ENABLED     intendedEnablementState: ENABLED   CRYPTOMINING_YARA:     effectiveEnablementState: ENABLED   KERNEL_INTEGRITY_TAMPERING:     effectiveEnablementState: ENABLED   KERNEL_MEMORY_TAMPERING:     effectiveEnablementState: ENABLED   MALWARE_DISK_SCAN_YARA:     effectiveEnablementState: ENABLED name: projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection updateTime: '2024-08-05T22:32:01.536452397Z'

REST

Mit der Methode RESOURCE_TYPE.locations.securityCenterServices.patch der Security Command Center Management API wird der Status eines Security Command Center-Dienstes oder -Moduls aktualisiert.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

RESOURCE_TYPE: der Ressourcentyp, der aktualisiert werden soll (organizations, folders oder projects)
QUOTA_PROJECT: die Projekt-ID, die für die Abrechnung und das Kontingent-Tracking verwendet werden soll
RESOURCE_ID: Die numerische Kennzeichnung der Organisation, des Ordners oder des Projekts, das aktualisiert werden soll. Bei Projekten können Sie auch die alphanumerische Projekt-ID verwenden.
MODULE_NAME: der Name des Moduls, das aktiviert oder deaktiviert werden soll. Gültige Werte finden Sie unter Bedrohungsbefunde.
NEW_STATE: ENABLED zum Aktivieren des Moduls, DISABLED zum Deaktivieren des Moduls oder INHERITED zum Übernehmen des Aktivierungsstatus der übergeordneten Ressource (nur für Projekte und Ordner gültig)

HTTP-Methode und URL:

PATCH https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/vm-threat-detection?updateMask=modules

JSON-Text anfordern:

 {   "modules": {     "MODULE_NAME": {       "intendedEnablementState": "NEW_STATE"     }   } }

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

curl (Linux, macOS oder Cloud Shell)

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:

curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: QUOTA_PROJECT" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/vm-threat-detection?updateMask=modules"

PowerShell (Windows)

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "QUOTA_PROJECT" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/vm-threat-detection?updateMask=modules" | Select-Object -Expand Content

Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:

 {   "name": "projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection",   "effectiveEnablementState": "ENABLED",   "modules": {     "CRYPTOMINING_YARA": {       "effectiveEnablementState": "ENABLED"     },     "KERNEL_MEMORY_TAMPERING": {       "effectiveEnablementState": "ENABLED"     },     "KERNEL_INTEGRITY_TAMPERING": {       "effectiveEnablementState": "ENABLED"     },     "CRYPTOMINING_HASH": {       "intendedEnablementState": "ENABLED",       "effectiveEnablementState": "ENABLED"     },     "MALWARE_DISK_SCAN_YARA": {       "effectiveEnablementState": "ENABLED"     }   },   "updateTime": "2024-08-05T22:32:01.536452397Z" }

Einstellungen der VM Bedrohungserkennungs-Module ansehen

Informationen zu allen Bedrohungsergebnissen von VM Threat Detection und den Modulen, die sie generieren, finden Sie in der Tabelle Bedrohungsergebnisse.

Console

In der Google Cloud -Konsole können Sie die Einstellungen für VM Bedrohungserkennungs-Module auf Organisationsebene ansehen. Verwenden Sie die gcloud CLI oder die REST API, um die Einstellungen für VM Threat Detection-Module auf Ordner- oder Projektebene aufzurufen.

Wenn Sie die Einstellungen in der Google Cloud Console aufrufen möchten, rufen Sie die Seite Virtual Machine Threat Detection Modules auf.

Zu den Modulen

gcloud

Mit dem Befehl gcloud scc manage services describe wird der Status eines Security Command Center-Dienstes oder -Moduls abgerufen.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

RESOURCE_TYPE: der abzurufende Ressourcentyp (organization, folder oder project)
RESOURCE_ID: Die numerische Kennzeichnung der Organisation, des Ordners oder des Projekts, das abgerufen werden soll. Für Projekte können Sie auch die alphanumerische Projekt-ID verwenden.

Führen Sie den Befehl gcloud scc manage services describe aus:

Linux, macOS oder Cloud Shell

gcloud scc manage services describe vm-threat-detection \     --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud scc manage services describe vm-threat-detection `     --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud scc manage services describe vm-threat-detection ^     --RESOURCE_TYPE=RESOURCE_ID

Sie sollten eine Antwort ähnlich der folgenden erhalten:

effectiveEnablementState: ENABLED modules:   CRYPTOMINING_HASH:     effectiveEnablementState: ENABLED     intendedEnablementState: ENABLED   CRYPTOMINING_YARA:     effectiveEnablementState: ENABLED   KERNEL_INTEGRITY_TAMPERING:     effectiveEnablementState: ENABLED   KERNEL_MEMORY_TAMPERING:     effectiveEnablementState: ENABLED   MALWARE_DISK_SCAN_YARA:     effectiveEnablementState: ENABLED name: projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection updateTime: '2024-08-05T22:32:01.536452397Z'

REST

Mit der Methode RESOURCE_TYPE.locations.securityCenterServices.get der Security Command Center Management API wird der Status eines Security Command Center-Dienstes oder -Moduls abgerufen.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

RESOURCE_TYPE: der abzurufende Ressourcentyp (organizations, folders oder projects)
QUOTA_PROJECT: die Projekt-ID, die für die Abrechnung und das Kontingent-Tracking verwendet werden soll
RESOURCE_ID: Die numerische Kennzeichnung der Organisation, des Ordners oder des Projekts, das abgerufen werden soll. Für Projekte können Sie auch die alphanumerische Projekt-ID verwenden.

HTTP-Methode und URL:

GET https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/vm-threat-detection

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

curl (Linux, macOS oder Cloud Shell)

Führen Sie folgenden Befehl aus:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: QUOTA_PROJECT" \
     "https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/vm-threat-detection"

PowerShell (Windows)

Führen Sie folgenden Befehl aus:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "QUOTA_PROJECT" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/vm-threat-detection" | Select-Object -Expand Content

Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:

 {   "name": "projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection",   "effectiveEnablementState": "ENABLED",   "modules": {     "CRYPTOMINING_YARA": {       "effectiveEnablementState": "ENABLED"     },     "KERNEL_MEMORY_TAMPERING": {       "effectiveEnablementState": "ENABLED"     },     "KERNEL_INTEGRITY_TAMPERING": {       "effectiveEnablementState": "ENABLED"     },     "CRYPTOMINING_HASH": {       "intendedEnablementState": "ENABLED",       "effectiveEnablementState": "ENABLED"     },     "MALWARE_DISK_SCAN_YARA": {       "effectiveEnablementState": "ENABLED"     }   },   "updateTime": "2024-08-05T22:32:01.536452397Z" }

Softwarenamen und YARA-Regeln für die Erkennung von Kryptowährungs-Mining

Die folgenden Listen enthalten die Namen von Binärdateien und YARA-Regeln, die Ergebnisse zum Kryptowährungs-Mining auslösen. Maximieren Sie die Knoten, um die Listen aufzurufen.

`Execution: Cryptocurrency Mining Hash Match`

Arionum CPU Miner: Mining-Software für die Arionum-Kryptowährung
Avermore: Mining-Software für Scrypt-basierte Kryptowährungen
Beam CUDA Miner: Mining-Software für Equihash-basierte Kryptowährungen
Beam OpenCL Miner: Mining-Software für Equihash-basierte Kryptowährungen
BFGMiner: ASIC/FPGA-basierte Mining-Software für Bitcoin
BMiner: Mining-Software für verschiedene Kryptowährungen
Cast XMR: Mining-Software für CryptoNight-basierte Kryptowährungen
ccminer: CUDA-basierte Mining-Software
cgminer: ASIC/FPGA-basierte Mining-Software für Bitcoin
Claymore Miner: GPU-basierte Mining-Software für verschiedene Kryptowährungen
CPUMiner: Familie CPU-basierter Mining-Software
CryptoDredge: Mining-Softwarefamilie für CryptoDredge
CryptoGoblin: Mining-Software für CryptoNight-basierte Kryptowährungen
DamoMiner: GPU-basierte Mining-Software für Ethereum und andere Kryptowährungen
DigitsMiner: Mining-Software für Digits
EasyMiner: Mining-Software für Bitcoin und andere Kryptowährungen
Ethminer: Mining-Software für Ethereum und andere Kryptowährungen
EWBF: Mining-Software für Equihash-basierte Kryptowährungen
FinMiner: Mining-Software für Ethash- und CryptoNight-basierte Kryptowährungen
Funakoshi Miner: Mining-Software für Bitcoin-Gold-Kryptowährungen
Geth: Mining-Software für Ethereum
GMiner: Mining-Software für verschiedene Kryptowährungen
gominer: Mining-Software für Decred
GrinGoldMiner: Mining-Software für Grin
Hush: Mining-Software für Zcash-basierte Kryptowährungen
IxiMiner: Mining-Software für Ixian
kawpowminer: Mining-Software für Ravencoin
Komodo: Mining-Softwarefamilie für Komodo
lolMiner: Mining-Software für verschiedene Kryptowährungen
lukMiner: Mining-Software für verschiedene Kryptowährungen
MinerGate: Mining-Software für verschiedene Kryptowährungen
miniZ: Mining-Software für Equihash-basierte Kryptowährungen
Mirai: Malware, die zum Mining von Kryptowährungen verwendet werden kann
MultiMiner: Mining-Software für verschiedene Kryptowährungen
nanominer: Mining-Software für verschiedene Kryptowährungen
NBMiner: Mining-Software für verschiedene Kryptowährungen
Nevermore: Mining-Software für verschiedene Kryptowährungen
nheqminer: Mining-Software für NiceHash
NinjaRig: Mining-Software für Argon2-basierte Kryptowährungen
NodeCore PoW CUDA Miner: Mining-Software für VeriBlock
NoncerPro: Mining-Software für Nimiq
Optiminer/Equihash: Mining-Software für Equihash-basierte Kryptowährungen
PascalCoin: Mining-Softwarefamilie für PascalCoin
PhoenixMiner: Mining-Software für Ethereum
Pooler CPU Miner: Mining-Software für Litecoin und Bitcoin
ProgPoW Miner: Mining-Software für Ethereum und andere Kryptowährungen
rhminer: Mining-Software für PascalCoin
sgminer: Mining-Software für Scrypt-basierte Kryptowährungen
simplecoin: Mining-Softwarefamilie für Scrypt-basiertes SimpleCoin
Skypool Nimiq Miner: Mining-Software für Nimiq
SwapReferenceMiner: Mining-Software für Grin
Team Red Miner: AMD-basierte Mining-Software für verschiedene Kryptowährungen
T-Rex: Mining-Software für verschiedene Kryptowährungen
TT-Miner: Mining-Software für verschiedene Kryptowährungen
Ubqminer: Mining-Software für Ubqhash-basierte Kryptowährungen
VersusCoin: Mining-Software für VersusCoin
violetminer: Mining-Software für Argon2-basierte Kryptowährungen
webchain-miner: Mining-Software für MintMe
WildRig: Mining-Software für verschiedene Kryptowährungen
XCASH_ALL_Miner: Mining-Software für XCASH
xFash: Mining-Software für MinerGate
XLArig: Mining-Software für CryptoNight-basierte Kryptowährungen
XMRig: Mining-Software für verschiedene Kryptowährungen
Xmr-Stak: Mining-Software für CryptoNight-basierte Kryptowährungen
XMR-Stak TurtleCoin: Mining-Software für CryptoNight-basierte Kryptowährungen
Xtl-Stak: Mining-Software für CryptoNight-basierte Kryptowährungen
Yam Miner: Mining-Software für MinerGate
YCash: Mining-Software für YCash
ZCoin: Mining-Software für ZCoin/Fire
Zealot/Enemy: Mining-Software für verschiedene Kryptowährungen
Kryptowährungs-Miner-Signal¹

¹ Dieser allgemeine Bedrohungsname gibt an, dass ein unbekannter Cryptocurrency-Miner möglicherweise in der VM ausgeführt wird, die VM Threat Detection jedoch keine spezifischen Informationen über den Miner hat.

`Execution: Cryptocurrency Mining YARA Rule`

YARA_RULE1: entspricht einer Mining-Software für Monero
YARA_RULE9: entspricht Mining-Software, die Blake2- und AES-Chiffres verwendet
YARA_RULE10: entspricht einer Mining-Software, die die Proof of Work-Routine von CryptoNight verwendet
YARA_RULE15: entspricht einer Mining-Software für NBMiner
YARA_RULE17: entspricht einer Mining-Software, die die Proof of Work-Routine von Scrypt verwendet
YARA_RULE18: entspricht einer Mining-Software, die die Proof of Work-Routine von Scrypt verwendet
YARA_RULE19: entspricht einer Mining-Software für BFGMiner
YARA_RULE24: entspricht einer Mining-Software für XMR-Stak
YARA_RULE25: entspricht einer Mining-Software für XMRig
DYNAMIC_YARA_RULE_BFGMINER_2: entspricht einer Mining-Software für BFGMiner

Bedrohungserkennung für virtuelle Maschinen verwenden Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Übersicht

Kosten

Hinweise

VM Threat Detection testen

Ergebnisse in der Google Cloud -Console ansehen

Schweregrad

Kombinierte Erkennungen

Beispiele für Ergebnisformate

Defense Evasion: Rootkit

Defense Evasion: Unexpected ftrace handler

Defense Evasion: Unexpected interrupt handler

Defense Evasion: Unexpected kernel modules

Defense Evasion: Unexpected kernel read-only data modification

Defense Evasion: Unexpected kprobe handler

Defense Evasion: Unexpected processes in runqueue

Defense Evasion: Unexpected system call handler

Execution: Cryptocurrency Mining Combined Detection

Execution: Cryptocurrency Mining Hash Match Detection

Execution: Cryptocurrency Mining YARA Rule

Malware: Malicious file on disk (YARA)

Ergebnisstatus ändern

VM Bedrohungserkennung für Google Cloudaktivieren oder deaktivieren

Console

gcloud

Linux, macOS oder Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS oder Cloud Shell)

PowerShell (Windows)

VM Bedrohungserkennungs-Modul aktivieren oder deaktivieren

Console

gcloud

Linux, macOS oder Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS oder Cloud Shell)

PowerShell (Windows)

Einstellungen der VM Bedrohungserkennungs-Module ansehen

Console

gcloud

Linux, macOS oder Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS oder Cloud Shell)

PowerShell (Windows)

Softwarenamen und YARA-Regeln für die Erkennung von Kryptowährungs-Mining

Execution: Cryptocurrency Mining Hash Match

Execution: Cryptocurrency Mining YARA Rule

Nächste Schritte

Bedrohungserkennung für virtuelle Maschinen verwenden

`Defense Evasion: Rootkit`

`Defense Evasion: Unexpected ftrace handler`

`Defense Evasion: Unexpected interrupt handler`

`Defense Evasion: Unexpected kernel modules`

`Defense Evasion: Unexpected kernel read-only data modification`

`Defense Evasion: Unexpected kprobe handler`

`Defense Evasion: Unexpected processes in runqueue`

`Defense Evasion: Unexpected system call handler`

`Execution: Cryptocurrency Mining Combined Detection`

`Execution: Cryptocurrency Mining Hash Match Detection`

`Execution: Cryptocurrency Mining YARA Rule`

`Malware: Malicious file on disk (YARA)`

`Execution: Cryptocurrency Mining Hash Match`

`Execution: Cryptocurrency Mining YARA Rule`