Questa pagina descrive come visualizzare e gestire i risultati di VM Threat Detection. Mostra anche come attivare o disattivare il servizio e i relativi moduli.
Panoramica
Virtual Machine Threat Detection è un servizio integrato di Security Command Center disponibile nei livelli Enterprise e Premium. Questo servizio esegue la scansione delle macchine virtuali per rilevare applicazioni potenzialmente dannose, come software di mining di criptovalute, rootkit in modalità kernel e malware in esecuzione in ambienti cloud compromessi.
VM Threat Detection fa parte della suite di rilevamento delle minacce di Security Command Center ed è progettato per integrare le funzionalità esistenti di Event Threat Detection e Container Threat Detection.
Per ulteriori informazioni, consulta la panoramica di VM Threat Detection.
Costi
Dopo la registrazione a Security Command Center Premium, non sono previsti costi aggiuntivi per utilizzare il rilevamento delle minacce per le VM.
Prima di iniziare
Per ottenere le autorizzazioni
necessarie per gestire il servizio Virtual Machine Threat Detection e i relativi moduli,
chiedi all'amministratore di concederti il
ruolo IAM Security Center Management Admin (roles/securitycentermanagement.admin)
nell'organizzazione, nella cartella o nel progetto.
Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.
Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
Testa VM Threat Detection
Per testare il rilevamento del mining di criptovalute di VM Threat Detection, puoi eseguire un'applicazione di mining di criptovalute sulla tua VM. Per un elenco di nomi binari e regole YARA che attivano i risultati, vedi Nomi software e regole YARA. Se installi e testi applicazioni di mining, ti consigliamo di eseguirle solo in un ambiente di test isolato, monitorarne attentamente l'utilizzo e rimuoverle completamente dopo il test.
Per testare il rilevamento di malware di VM Threat Detection, puoi scaricare applicazioni malware sulla tua VM. Se scarichi malware, ti consigliamo di farlo in un ambiente di test isolato e di rimuoverli completamente dopo il test.
Esaminare i risultati nella console Google Cloud
Per esaminare i risultati di VM Threat Detection nella console Google Cloud , segui questi passaggi:
- Nella console Google Cloud , vai alla pagina Risultati di Security Command Center.
- Seleziona il tuo progetto o la tua organizzazione Google Cloud .
- Nella sezione Filtri rapidi, nella sottosezione Nome visualizzato origine, seleziona Rilevamento minacce per macchine virtuali. I risultati della query sui risultati vengono aggiornati per mostrare solo i risultati di questa origine.
- Per visualizzare i dettagli di un risultato specifico, fai clic sul nome del risultato nella colonna Categoria. Si apre il pannello dei dettagli del risultato e viene visualizzata la scheda Riepilogo.
- Nella scheda Riepilogo, esamina i dettagli del risultato, incluse le informazioni su ciò che è stato rilevato, la risorsa interessata e, se disponibili, i passaggi che puoi seguire per risolvere il problema.
- (Facoltativo) Per visualizzare la definizione JSON completa del risultato, fai clic sulla scheda JSON.
Per informazioni più dettagliate su come rispondere a ogni risultato di VM Threat Detection, consulta Risposta a VM Threat Detection.
Per un elenco dei risultati del rilevamento delle minacce per le VM, vedi Risultati.
Gravità
Ai risultati di VM Threat Detection vengono assegnati livelli di gravità Alto, Medio e Basso in base al livello di confidenza della classificazione delle minacce.
Rilevamenti combinati
I rilevamenti combinati si verificano quando vengono rilevate più categorie di risultati
in un giorno. I risultati possono essere causati da una o più applicazioni dannose.
Ad esempio, una singola applicazione può attivare contemporaneamente i risultati Execution: Cryptocurrency Mining YARA Rule e Execution: Cryptocurrency
Mining Hash Match. Tuttavia, tutte le minacce rilevate da una singola origine
nello stesso giorno vengono raggruppate in un unico risultato di rilevamento combinato. Nei giorni
successivi, se vengono rilevate altre minacce, anche le stesse, vengono
associate a nuove scoperte.
Per un esempio di risultato di rilevamento combinato, vedi Esempi di formati dei risultati.
Esempi di formati di risultati
Questa sezione fornisce esempi di output JSON per i risultati di VM Threat Detection. Questo output viene visualizzato quando esporti i risultati utilizzando la consoleGoogle Cloud o elenca i risultati utilizzando l'API Security Command Center o Google Cloud CLI.
Gli esempi in questa pagina mostrano diversi tipi di risultati. Ogni esempio include solo i campi più pertinenti per quel tipo di risultato.
Per un elenco completo dei campi disponibili in un
risultato, consulta la documentazione dell'API Security Command Center per la risorsa
Finding.
Puoi esportare i risultati tramite la console Security Command Center o elencare i risultati tramite l'API Security Command Center.
Per visualizzare i risultati di esempio, espandi uno o più dei seguenti nodi. Per
informazioni su ciascun campo del risultato, vedi
Finding.
Defense Evasion: Rootkit
Questo esempio di output mostra un risultato di un rootkit in modalità kernel noto: Diamorfine.
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Rootkit", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": { "name": "Diamorphine", "unexpected_kernel_code_pages": true, "unexpected_system_call_handler": true }, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Defense Evasion: Unexpected ftrace handler
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Unexpected ftrace handler", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Defense Evasion: Unexpected interrupt handler
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Unexpected interrupt handler", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Defense Evasion: Unexpected kernel modules
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Unexpected kernel modules", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Defense Evasion: Unexpected kernel read-only data modification
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Unexpected kernel read-only data modification", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Defense Evasion: Unexpected kprobe handler
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Unexpected kprobe handler", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Defense Evasion: Unexpected processes in runqueue
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Unexpected processes in runqueue", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Defense Evasion: Unexpected system call handler
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Unexpected system call handler", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Execution: Cryptocurrency Mining Combined
Detection
Questo esempio di output mostra una minaccia rilevata dai moduli
CRYPTOMINING_HASH e CRYPTOMINING_YARA.
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID", "category": "Execution: Cryptocurrency Mining Combined Detection", "createTime": "2023-01-05T01:40:48.994Z", "database": {}, "eventTime": "2023-01-05T01:39:36.876Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": { "signatures": [ { "yaraRuleSignature": { "yaraRule": "YARA_RULE1" } }, { "yaraRuleSignature": { "yaraRule": "YARA_RULE9" } }, { "yaraRuleSignature": { "yaraRule": "YARA_RULE10" } }, { "yaraRuleSignature": { "yaraRule": "YARA_RULE25" } }, { "memoryHashSignature": { "binaryFamily": "XMRig", "detections": [ { "binary": "linux-x86-64_xmrig_6.12.2", "percentPagesMatched": 1 } ] } } ] }, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [ { "binary": { "path": "BINARY_PATH" }, "script": {}, "args": [ "./miner", "" ], "pid": "123", "parentPid": "456", "name": "miner" } ], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "project_display_name": "DISPLAY_NAME", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Execution: Cryptocurrency Mining Hash Match
Detection
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID", "category": "Execution: Cryptocurrency Mining Hash Match", "createTime": "2023-01-05T01:40:48.994Z", "database": {}, "eventTime": "2023-01-05T01:39:36.876Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": { "signatures": [ { "memoryHashSignature": { "binaryFamily": "XMRig", "detections": [ { "binary": "linux-x86-64_xmrig_6.12.2", "percentPagesMatched": 1 } ] } } ] }, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [ { "binary": { "path": "BINARY_PATH" }, "script": {}, "args": [ "./miner", "" ], "pid": "123", "parentPid": "456", "name": "miner" } ], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "project_display_name": "DISPLAY_NAME", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Execution: Cryptocurrency Mining YARA Rule
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID", "category": "Execution: Cryptocurrency Mining YARA Rule", "createTime": "2023-01-05T00:37:38.450Z", "database": {}, "eventTime": "2023-01-05T01:12:48.828Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": { "signatures": [ { "yaraRuleSignature": { "yaraRule": "YARA_RULE9" } }, { "yaraRuleSignature": { "yaraRule": "YARA_RULE10" } }, { "yaraRuleSignature": { "yaraRule": "YARA_RULE25" } } ] }, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [ { "binary": { "path": "BINARY_PATH" }, "script": {}, "args": [ "./miner", "" ], "pid": "123", "parentPid": "456", "name": "miner" } ], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "project_display_name": "DISPLAY_NAME", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Malware: Malicious file on disk (YARA)
{ "findings": { "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID", "category": "Malware: Malicious file on disk (YARA)", "createTime": "2023-01-05T00:37:38.450Z", "eventTime": "2023-01-05T01:12:48.828Z", "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": { "signatures": [ { "yaraRuleSignature": { "yaraRule": "M_Backdoor_REDSONJA_4" }, "signatureType": "SIGNATURE_TYPE_FILE", }, { "yaraRuleSignature": { "yaraRule": "M_Backdoor_REDSONJA_3" }, "signatureType": "SIGNATURE_TYPE_FILE", } ] }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "files": [ { "diskPath": { "partition_uuid": "b411dc99-f0a0-4c87-9e05-184977be8539", "relative_path": "RELATIVE_PATH" }, "size": "21238", "sha256": "65d860160bdc9b98abf72407e14ca40b609417de7939897d3b58d55787aaef69", "hashedSize": "21238" } ], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "project_display_name": "DISPLAY_NAME", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Modificare lo stato dei risultati
Quando risolvi le minacce identificate da VM Threat Detection, il servizio non imposta automaticamente lo stato di un risultato su Inattivo nelle scansioni successive. A causa della natura del nostro dominio delle minacce, il rilevamento delle minacce per le VM non può determinare se una minaccia è stata mitigata o è cambiata per evitare il rilevamento.
Quando i team di sicurezza sono soddisfatti della mitigazione di una minaccia, possono eseguire i seguenti passaggi per impostare lo stato dei risultati su Inattivo.
Vai alla pagina Risultati di Security Command Center nella console Google Cloud .
Accanto a Visualizza per, fai clic su Tipo di origine.
Nell'elenco Tipo di origine, seleziona Rilevamento delle minacce per le macchine virtuali. Una tabella viene compilata con i risultati per il tipo di origine selezionato.
Seleziona la casella di controllo accanto ai risultati risolti.
Fai clic su Modifica stato attivo.
Fai clic su Inattiva.
Abilita o disabilita il rilevamento delle minacce per le VM per Google Cloud
Questa sezione descrive come attivare o disattivare VM Threat Detection per le VM Compute Engine. Per attivare VM Threat Detection per le VM AWS, consulta Attivare VM Threat Detection per AWS.
VM Threat Detection è attivato per impostazione predefinita per tutti i clienti che si registrano a Security Command Center Premium dopo il 15 luglio 2022, data in cui questo servizio è diventato disponibile a livello generale. Se necessario, puoi disattivarlo o riattivarlo manualmente per il tuo progetto o la tua organizzazione.
Quando abiliti VM Threat Detection in un'organizzazione o un progetto, il servizio esegue automaticamente la scansione di tutte le risorse supportate nell'organizzazione o nel progetto. Al contrario, quando disattivi VM Threat Detection in un'organizzazione o un progetto, il servizio interrompe la scansione di tutte le risorse supportate.
Per attivare o disattivare il rilevamento delle minacce per le VM:
Console
Nella console Google Cloud , vai alla pagina Attivazione del servizio di rilevamento delle minacce per le macchine virtuali.
Seleziona la tua organizzazione o il tuo progetto.
Nella scheda Attivazione del servizio, nella colonna Rilevamento delle minacce per le macchine virtuali, seleziona lo stato di attivazione dell'organizzazione, della cartella o del progetto che vuoi modificare, quindi seleziona una delle seguenti opzioni:
- Attiva: attiva VM Threat Detection
- Disattiva: disattiva VM Threat Detection
- Eredita: eredita lo stato di attivazione dalla cartella o dall'organizzazione padre; disponibile solo per progetti e cartelle
gcloud
Il comando
gcloud scc manage services update
aggiorna lo stato di un servizio o modulo di Security Command Center.
Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
-
RESOURCE_TYPE: il tipo di risorsa da aggiornare (organization,folderoproject) -
RESOURCE_ID: l'identificatore numerico dell'organizzazione, della cartella o del progetto da aggiornare; per i progetti, puoi utilizzare anche l'ID progetto alfanumerico -
NEW_STATE:ENABLEDper attivare VM Threat Detection;DISABLEDper disattivare VM Threat Detection; oINHERITEDper ereditare lo stato di attivazione della risorsa padre (valido solo per progetti e cartelle)
Esegui il comando
gcloud scc manage services update:
Linux, macOS o Cloud Shell
gcloud scc manage services update vm-threat-detection \ --RESOURCE_TYPE=RESOURCE_ID \ --enablement-state=NEW_STATE
Windows (PowerShell)
gcloud scc manage services update vm-threat-detection ` --RESOURCE_TYPE=RESOURCE_ID ` --enablement-state=NEW_STATE
Windows (cmd.exe)
gcloud scc manage services update vm-threat-detection ^ --RESOURCE_TYPE=RESOURCE_ID ^ --enablement-state=NEW_STATE
Dovresti ricevere una risposta simile alla seguente:
effectiveEnablementState: ENABLED
modules:
CRYPTOMINING_HASH:
effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
CRYPTOMINING_YARA:
effectiveEnablementState: ENABLED
KERNEL_INTEGRITY_TAMPERING:
effectiveEnablementState: ENABLED
KERNEL_MEMORY_TAMPERING:
effectiveEnablementState: ENABLED
MALWARE_DISK_SCAN_YARA:
effectiveEnablementState: ENABLED
name: projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection
updateTime: '2024-08-05T22:32:01.536452397Z'
REST
Il metodo
RESOURCE_TYPE.locations.securityCenterServices.patch
dell'API Security Command Center Management aggiorna lo stato di un servizio o modulo Security Command Center.
Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
-
RESOURCE_TYPE: il tipo di risorsa da aggiornare (organizations,foldersoprojects) -
QUOTA_PROJECT: l'ID progetto da utilizzare per il monitoraggio della fatturazione e delle quote -
RESOURCE_ID: l'identificatore numerico dell'organizzazione, della cartella o del progetto da aggiornare; per i progetti, puoi utilizzare anche l'ID progetto alfanumerico -
NEW_STATE:ENABLEDper attivare VM Threat Detection;DISABLEDper disattivare VM Threat Detection; oINHERITEDper ereditare lo stato di attivazione della risorsa padre (valido solo per progetti e cartelle)
Metodo HTTP e URL:
PATCH https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/vm-threat-detection?updateMask=intendedEnablementState
Corpo JSON della richiesta:
{
"intendedEnablementState": "NEW_STATE"
}
Per inviare la richiesta, espandi una di queste opzioni:
Dovresti ricevere una risposta JSON simile alla seguente:
{
"name": "projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection",
"effectiveEnablementState": "ENABLED",
"modules": {
"CRYPTOMINING_YARA": {
"effectiveEnablementState": "ENABLED"
},
"KERNEL_MEMORY_TAMPERING": {
"effectiveEnablementState": "ENABLED"
},
"KERNEL_INTEGRITY_TAMPERING": {
"effectiveEnablementState": "ENABLED"
},
"CRYPTOMINING_HASH": {
"intendedEnablementState": "ENABLED",
"effectiveEnablementState": "ENABLED"
},
"MALWARE_DISK_SCAN_YARA": {
"effectiveEnablementState": "ENABLED"
}
},
"updateTime": "2024-08-05T22:32:01.536452397Z"
}
Attivare o disattivare un modulo di rilevamento delle minacce per le VM
Per attivare o disattivare un singolo rilevatore di VM Threat Detection, noto anche come modulo, procedi nel seguente modo. L'applicazione delle modifiche potrebbe richiedere fino a un'ora.
Per informazioni su tutti i risultati delle minacce di VM Threat Detection e sui moduli che li generano, consulta Risultati delle minacce.
Console
La console Google Cloud consente di attivare o disattivare i moduli di VM Threat Detection a livello di organizzazione. Per attivare o disattivare i moduli di rilevamento delle minacce VM a livello di cartella o progetto, utilizza gcloud CLI o l'API REST.
Nella console Google Cloud , vai alla pagina Moduli di rilevamento delle minacce per le macchine virtuali.
Fai clic sulla scheda del provider di servizi cloud per cui vuoi attivare o disattivare i moduli, ad esempio Google Cloud.
Nella scheda Moduli, nella colonna Stato, seleziona lo stato attuale del modulo che vuoi attivare o disattivare, quindi seleziona una delle seguenti opzioni:
- Attiva: attiva il modulo.
- Disabilita: disabilita il modulo.
gcloud
Il comando
gcloud scc manage services update
aggiorna lo stato di un servizio o modulo di Security Command Center.
Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
-
RESOURCE_TYPE: il tipo di risorsa da aggiornare (organization,folderoproject) -
RESOURCE_ID: l'identificatore numerico dell'organizzazione, della cartella o del progetto da aggiornare; per i progetti, puoi utilizzare anche l'ID progetto alfanumerico -
MODULE_NAME: il nome del modulo da attivare o disattivare; per i valori validi, vedi Risultati delle minacce -
NEW_STATE:ENABLEDper attivare il modulo;DISABLEDper disattivare il modulo; oINHERITEDper ereditare lo stato di attivazione della risorsa principale (valido solo per progetti e cartelle)
Salva i seguenti contenuti in un file denominato request.json:
{ "MODULE_NAME": { "intendedEnablementState": "NEW_STATE" } }
Esegui il comando
gcloud scc manage services update:
Linux, macOS o Cloud Shell
gcloud scc manage services update vm-threat-detection \ --RESOURCE_TYPE=RESOURCE_ID \ --enablement-state=ENABLED \ --module-config-file=request.json
Windows (PowerShell)
gcloud scc manage services update vm-threat-detection ` --RESOURCE_TYPE=RESOURCE_ID ` --enablement-state=ENABLED \ --module-config-file=request.json
Windows (cmd.exe)
gcloud scc manage services update vm-threat-detection ^ --RESOURCE_TYPE=RESOURCE_ID ^ --enablement-state=ENABLED \ --module-config-file=request.json
Dovresti ricevere una risposta simile alla seguente:
effectiveEnablementState: ENABLED
modules:
CRYPTOMINING_HASH:
effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
CRYPTOMINING_YARA:
effectiveEnablementState: ENABLED
KERNEL_INTEGRITY_TAMPERING:
effectiveEnablementState: ENABLED
KERNEL_MEMORY_TAMPERING:
effectiveEnablementState: ENABLED
MALWARE_DISK_SCAN_YARA:
effectiveEnablementState: ENABLED
name: projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection
updateTime: '2024-08-05T22:32:01.536452397Z'
REST
Il metodo
RESOURCE_TYPE.locations.securityCenterServices.patch
dell'API Security Command Center Management aggiorna lo stato di un servizio o modulo Security Command Center.
Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
-
RESOURCE_TYPE: il tipo di risorsa da aggiornare (organizations,foldersoprojects) -
QUOTA_PROJECT: l'ID progetto da utilizzare per il monitoraggio della fatturazione e delle quote -
RESOURCE_ID: l'identificatore numerico dell'organizzazione, della cartella o del progetto da aggiornare; per i progetti, puoi utilizzare anche l'ID progetto alfanumerico -
MODULE_NAME: il nome del modulo da attivare o disattivare; per i valori validi, vedi Risultati delle minacce -
NEW_STATE:ENABLEDper attivare il modulo;DISABLEDper disattivare il modulo; oINHERITEDper ereditare lo stato di attivazione della risorsa principale (valido solo per progetti e cartelle)
Metodo HTTP e URL:
PATCH https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/vm-threat-detection?updateMask=modules
Corpo JSON della richiesta:
{
"modules": {
"MODULE_NAME": {
"intendedEnablementState": "NEW_STATE"
}
}
}
Per inviare la richiesta, espandi una di queste opzioni:
Dovresti ricevere una risposta JSON simile alla seguente:
{
"name": "projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection",
"effectiveEnablementState": "ENABLED",
"modules": {
"CRYPTOMINING_YARA": {
"effectiveEnablementState": "ENABLED"
},
"KERNEL_MEMORY_TAMPERING": {
"effectiveEnablementState": "ENABLED"
},
"KERNEL_INTEGRITY_TAMPERING": {
"effectiveEnablementState": "ENABLED"
},
"CRYPTOMINING_HASH": {
"intendedEnablementState": "ENABLED",
"effectiveEnablementState": "ENABLED"
},
"MALWARE_DISK_SCAN_YARA": {
"effectiveEnablementState": "ENABLED"
}
},
"updateTime": "2024-08-05T22:32:01.536452397Z"
}
Visualizzare le impostazioni dei moduli VM Threat Detection
Per informazioni su tutti i risultati delle minacce di VM Threat Detection e sui moduli che li generano, consulta la tabella Risultati delle minacce.
Console
La console Google Cloud consente di visualizzare le impostazioni per i moduli di rilevamento delle minacce delle VM a livello di organizzazione. Per visualizzare le impostazioni dei moduli di rilevamento delle minacce per le VM a livello di cartella o progetto, utilizza gcloud CLI o l'API REST.
Per visualizzare le impostazioni nella console Google Cloud , vai alla pagina Moduli di rilevamento delle minacce delle macchine virtuali.
gcloud
Il comando
gcloud scc manage services describe
recupera lo stato di un servizio o modulo Security Command Center.
Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
-
RESOURCE_TYPE: il tipo di risorsa da recuperare (organization,folderoproject) -
RESOURCE_ID: l'identificatore numerico dell'organizzazione, della cartella o del progetto da recuperare. Per i progetti, puoi utilizzare anche l'ID progetto alfanumerico.
Esegui il comando
gcloud scc manage services describe:
Linux, macOS o Cloud Shell
gcloud scc manage services describe vm-threat-detection \ --RESOURCE_TYPE=RESOURCE_ID
Windows (PowerShell)
gcloud scc manage services describe vm-threat-detection ` --RESOURCE_TYPE=RESOURCE_ID
Windows (cmd.exe)
gcloud scc manage services describe vm-threat-detection ^ --RESOURCE_TYPE=RESOURCE_ID
Dovresti ricevere una risposta simile alla seguente:
effectiveEnablementState: ENABLED
modules:
CRYPTOMINING_HASH:
effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
CRYPTOMINING_YARA:
effectiveEnablementState: ENABLED
KERNEL_INTEGRITY_TAMPERING:
effectiveEnablementState: ENABLED
KERNEL_MEMORY_TAMPERING:
effectiveEnablementState: ENABLED
MALWARE_DISK_SCAN_YARA:
effectiveEnablementState: ENABLED
name: projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection
updateTime: '2024-08-05T22:32:01.536452397Z'
REST
Il metodo
RESOURCE_TYPE.locations.securityCenterServices.get
dell'API Security Command Center Management recupera lo stato di un servizio o modulo Security Command Center.
Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
-
RESOURCE_TYPE: il tipo di risorsa da recuperare (organizations,foldersoprojects) -
QUOTA_PROJECT: l'ID progetto da utilizzare per il monitoraggio della fatturazione e delle quote -
RESOURCE_ID: l'identificatore numerico dell'organizzazione, della cartella o del progetto da recuperare. Per i progetti, puoi utilizzare anche l'ID progetto alfanumerico.
Metodo HTTP e URL:
GET https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/vm-threat-detection
Per inviare la richiesta, espandi una di queste opzioni:
Dovresti ricevere una risposta JSON simile alla seguente:
{
"name": "projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection",
"effectiveEnablementState": "ENABLED",
"modules": {
"CRYPTOMINING_YARA": {
"effectiveEnablementState": "ENABLED"
},
"KERNEL_MEMORY_TAMPERING": {
"effectiveEnablementState": "ENABLED"
},
"KERNEL_INTEGRITY_TAMPERING": {
"effectiveEnablementState": "ENABLED"
},
"CRYPTOMINING_HASH": {
"intendedEnablementState": "ENABLED",
"effectiveEnablementState": "ENABLED"
},
"MALWARE_DISK_SCAN_YARA": {
"effectiveEnablementState": "ENABLED"
}
},
"updateTime": "2024-08-05T22:32:01.536452397Z"
}
Nomi dei software e regole YARA per il rilevamento del mining di criptovalute
Gli elenchi seguenti includono i nomi dei file binari e delle regole YARA che attivano i risultati di mining di criptovalute. Per visualizzare gli elenchi, espandi i nodi.
Execution: Cryptocurrency Mining Hash Match
- Arionum CPU miner: software di mining per la criptovaluta Arionum
- Avermore: software di mining per criptovalute basate su scrypt
- Beam CUDA miner: software di mining per criptovalute basate su Equihash
- Beam OpenCL miner: software di mining per criptovalute basate su Equihash
- BFGMiner: software di mining basato su ASIC/FPGA per Bitcoin
- BMiner: software di mining per varie criptovalute
- Cast XMR: software di mining per criptovalute basate su CryptoNight
- ccminer: software di mining basato su CUDA
- cgminer: software di mining basato su ASIC/FPGA per Bitcoin
- Claymore's miner: software di mining basato su GPU per varie criptovalute
- CPUMiner: famiglia di software di mining basati su CPU
- CryptoDredge: famiglia di software di mining per CryptoDredge
- CryptoGoblin: software di mining per criptovalute basate su CryptoNight
- DamoMiner: software di mining basato su GPU per Ethereum e altre criptovalute
- DigitsMiner: software di mining per Digits
- EasyMiner: software di mining per Bitcoin e altre criptovalute
- Ethminer: software di mining per Ethereum e altre criptovalute
- EWBF: software di mining per criptovalute basate su Equihash
- FinMiner: software di mining per criptovalute basate su Ethash e CryptoNight
- Funakoshi Miner: software di mining per criptovalute Bitcoin-Gold
- Geth: software di mining per Ethereum
- GMiner: software di mining per varie criptovalute
- gominer: software di mining per Decred
- GrinGoldMiner: software di mining per Grin
- Hush: software di mining per criptovalute basate su Zcash
- IxiMiner: software di mining per Ixian
- kawpowminer: software di mining per Ravencoin
- Komodo: famiglia di software di mining per Komodo
- lolMiner: software di mining per varie criptovalute
- lukMiner: software di mining per varie criptovalute
- MinerGate: software di mining per varie criptovalute
- miniZ: software di mining per criptovalute basate su Equihash
- Mirai: malware che può essere utilizzato per il mining di criptovalute
- MultiMiner: software di mining per varie criptovalute
- nanominer: software di mining per varie criptovalute
- NBMiner: software di mining per varie criptovalute
- Nevermore: software di mining per varie criptovalute
- nheqminer: software di mining per NiceHash
- NinjaRig: software di mining per criptovalute basate su Argon2
- NodeCore PoW CUDA Miner: software di mining per VeriBlock
- NoncerPro: software di mining per Nimiq
- Optiminer/Equihash: software di mining per criptovalute basate su Equihash
- PascalCoin: famiglia di software di mining per PascalCoin
- PhoenixMiner: software di mining per Ethereum
- Pooler CPU Miner: software di mining per Litecoin e Bitcoin
- ProgPoW Miner: software di mining per Ethereum e altre criptovalute
- rhminer: software di mining per PascalCoin
- sgminer: software di mining per criptovalute basate su scrypt
- simplecoin: famiglia di software di mining per SimpleCoin basato su scrypt
- Skypool Nimiq Miner: software di mining per Nimiq
- SwapReferenceMiner: software di mining per Grin
- Team Red Miner: software di mining basato su AMD per varie criptovalute
- T-Rex: software di mining per varie criptovalute
- TT-Miner: software di mining per varie criptovalute
- Ubqminer: software di mining per criptovalute basate su Ubqhash
- VersusCoin: software di mining per VersusCoin
- violetminer: software di mining per criptovalute basate su Argon2
- webchain-miner: software di mining per MintMe
- WildRig: software di mining per varie criptovalute
- XCASH_ALL_Miner: software di mining per XCASH
- xFash: software di mining per MinerGate
- XLArig: software di mining per criptovalute basate su CryptoNight
- XMRig: software di mining per varie criptovalute
- Xmr-Stak: software di mining per criptovalute basate su CryptoNight
- XMR-Stak TurtleCoin: software di mining per criptovalute basate su CryptoNight
- Xtl-Stak: software di mining per criptovalute basate su CryptoNight
- Yam Miner: software di mining per MinerGate
- YCash: software di mining per YCash
- ZCoin: software di mining per ZCoin/Fire
- Zealot/Enemy: software di mining per varie criptovalute
- Segnale di mining di criptovalute1
1 Questo nome generico della minaccia indica che un miner di criptovalute sconosciuto potrebbe essere in funzione nella VM, ma VM Threat Detection non dispone di informazioni specifiche sul miner.
Execution: Cryptocurrency Mining YARA Rule
- YARA_RULE1: corrisponde al software di mining per Monero
- YARA_RULE9: corrisponde al software di mining che utilizza i cifrari Blake2 e AES
- YARA_RULE10: corrisponde al software di mining che utilizza la routine proof-of-work CryptoNight
- YARA_RULE15: corrisponde al software di mining per NBMiner
- YARA_RULE17: corrisponde al software di mining che utilizza la routine proof-of-work Scrypt.
- YARA_RULE18: corrisponde al software di mining che utilizza la routine di proof-of-work Scrypt
- YARA_RULE19: corrisponde al software di mining per BFGMiner
- YARA_RULE24: corrisponde al software di mining per XMR-Stak
- YARA_RULE25: corrisponde al software di mining per XMRig
- DYNAMIC_YARA_RULE_BFGMINER_2: corrisponde al software di mining per BFGMiner
Passaggi successivi
- Scopri di più su VM Threat Detection.
- Scopri come consentire a VM Threat Detection di analizzare le VM nei perimetri dei Controlli di servizio VPC.
- Scopri come abilitare VM Threat Detection per AWS.
- Scopri come analizzare i risultati di VM Threat Detection.