このページでは、VM Threat Detection の検出結果を表示して管理する方法について説明します。また、サービスとそのモジュールを有効または無効にする方法についても説明します。
概要
Virtual Machine Threat Detection は、Security Command Center の組み込みサービスです。このサービスは、仮想マシンをスキャンして、侵害されたクラウド環境で実行されている、悪質な可能性のあるアプリケーション(暗号通貨マイニング ソフトウェア、カーネルモード ルートキット、マルウェアなど)を検出します。
VM Threat Detection は、Security Command Center の脅威検出スイートの一部であり、Event Threat Detection と Container Threat Detection の既存の機能を補完するように設計されています。
詳細については、VM Threat Detection の概要をご覧ください。
始める前に
Virtual Machine Threat Detection サービスとそのモジュールを管理するために必要な権限を取得するには、組織、フォルダ、プロジェクトに対するセキュリティ センター管理の管理者(roles/securitycentermanagement.admin)の IAM ロールを付与するよう管理者に依頼してください。ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。
必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。
VM Threat Detection をテストする
VM Threat Detection の暗号通貨マイニングの検出をテストするには、VM で暗号通貨マイニング アプリケーションを実行します。検出結果をトリガーするバイナリ名と YARA ルールのリストについては、ソフトウェア名と YARA ルールをご覧ください。マイニング アプリケーションをインストールしてテストする場合は、隔離されたテスト環境でのみアプリケーションを実行し、アプリケーションの使用状況を注意深くモニタリングしてください。また、テスト後にアプリケーションを完全に削除することをおすすめします。
VM Threat Detection のマルウェア検出をテストするには、VM にマルウェア アプリケーションをダウンロードします。マルウェアをダウンロードする場合は、隔離されたテスト環境でダウンロードし、テスト後に完全に削除することをおすすめします。
Google Cloud コンソールで検出結果を確認する
Google Cloud コンソールで VM Threat Detection の検出結果を確認するには、次の操作を行います。
- Google Cloud コンソールで、Security Command Center の [検出結果] ページに移動します。
- Google Cloud プロジェクトまたは組織を選択します。
- [クイック フィルタ] セクションの [ソースの表示名] サブセクションで、[Virtual Machine Threat Detection] を選択します。検出結果クエリの結果が更新され、このソースからの検出結果のみが表示されます。
- 特定の検出結果の詳細を表示するには、[カテゴリ] 列にある検出結果の名前をクリックします。検出結果の詳細パネルが開き、[概要] タブが表示されます。
- [概要] タブで、検出された内容、影響を受けるリソース、検出結果の修正手順(ある場合)など、検出結果の詳細を確認します。
- 省略可: 検出結果の完全な JSON 定義を表示するには、[JSON] タブをクリックします。
VM Threat Detection の各検出結果への対応方法については、VM Threat Detection レスポンスをご覧ください。
VM Threat Detection の検出結果の一覧については、検出結果をご覧ください。
重大度
VM Threat Detection の検出結果には、脅威の分類の信頼度に基づいて、高、中、低の重大度が割り当てられます。
複合検出
複合検出は、1 日に複数のカテゴリの結果が検出されたときに発生します。検出結果は 1 つ以上の悪意のあるアプリケーションに起因している可能性があります。たとえば、1 つのアプリケーションで Execution: Cryptocurrency Mining YARA Rule と Execution: Cryptocurrency
Mining Hash Match の検出結果を同時にトリガーする場合があります。同じ日に 1 つのソースから検出された脅威は、1 つの複合検出の検出結果にまとめられます。同じ脅威であっても、その後さらに脅威が見つかると、新しい検出結果に関連付けられます。
複合検出の例については、検出結果の形式の例をご覧ください。
検出結果のフォーマットの例
このセクションでは、VM Threat Detection の検出結果の JSON 出力の例を示します。この出力は、Google Cloud コンソールを使用して検出結果をエクスポートするか、Security Command Center API または Google Cloud CLI を使用して検出結果を一覧表示するときに表示されます。
このページの例では、さまざまな種類の検出結果を示します。各例には、そのタイプの検出結果に最も関連性の高いフィールドのみが含まれます。検出結果で使用できるフィールドの一覧については、Finding リソースの Security Command Center API ドキュメントをご覧ください。
Security Command Center コンソールから検出結果をエクスポートしたり、Security Command Center API を使用して検出結果を一覧表示できます。
検出結果の例を表示するには、次のノードを 1 つ以上開きます。検出結果の各フィールドの詳細については、Finding をご覧ください。
Defense Evasion: Rootkit
この出力例は、既知のカーネルモード ルートキット(Diamorphine)の検出結果を示しています。
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Rootkit", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": { "name": "Diamorphine", "unexpected_kernel_code_pages": true, "unexpected_system_call_handler": true }, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Defense Evasion: Unexpected ftrace handler
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Unexpected ftrace handler", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Defense Evasion: Unexpected interrupt handler
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Unexpected interrupt handler", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Defense Evasion: Unexpected kernel modules
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Unexpected kernel modules", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Defense Evasion: Unexpected kernel read-only data modification
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Unexpected kernel read-only data modification", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Defense Evasion: Unexpected kprobe handler
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Unexpected kprobe handler", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Defense Evasion: Unexpected processes in runqueue
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Unexpected processes in runqueue", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Defense Evasion: Unexpected system call handler
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Unexpected system call handler", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Execution: Cryptocurrency Mining Combined
Detection
この出力例は、CRYPTOMINING_HASH モジュールと CRYPTOMINING_YARA モジュールの両方で検出された脅威を示しています。
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID", "category": "Execution: Cryptocurrency Mining Combined Detection", "createTime": "2023-01-05T01:40:48.994Z", "database": {}, "eventTime": "2023-01-05T01:39:36.876Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": { "signatures": [ { "yaraRuleSignature": { "yaraRule": "YARA_RULE1" } }, { "yaraRuleSignature": { "yaraRule": "YARA_RULE9" } }, { "yaraRuleSignature": { "yaraRule": "YARA_RULE10" } }, { "yaraRuleSignature": { "yaraRule": "YARA_RULE25" } }, { "memoryHashSignature": { "binaryFamily": "XMRig", "detections": [ { "binary": "linux-x86-64_xmrig_6.12.2", "percentPagesMatched": 1 } ] } } ] }, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [ { "binary": { "path": "BINARY_PATH" }, "script": {}, "args": [ "./miner", "" ], "pid": "123", "parentPid": "456", "name": "miner" } ], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "project_display_name": "DISPLAY_NAME", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Execution: Cryptocurrency Mining Hash Match
Detection
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID", "category": "Execution: Cryptocurrency Mining Hash Match", "createTime": "2023-01-05T01:40:48.994Z", "database": {}, "eventTime": "2023-01-05T01:39:36.876Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": { "signatures": [ { "memoryHashSignature": { "binaryFamily": "XMRig", "detections": [ { "binary": "linux-x86-64_xmrig_6.12.2", "percentPagesMatched": 1 } ] } } ] }, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [ { "binary": { "path": "BINARY_PATH" }, "script": {}, "args": [ "./miner", "" ], "pid": "123", "parentPid": "456", "name": "miner" } ], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "project_display_name": "DISPLAY_NAME", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Execution: Cryptocurrency Mining YARA Rule
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID", "category": "Execution: Cryptocurrency Mining YARA Rule", "createTime": "2023-01-05T00:37:38.450Z", "database": {}, "eventTime": "2023-01-05T01:12:48.828Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": { "signatures": [ { "yaraRuleSignature": { "yaraRule": "YARA_RULE9" } }, { "yaraRuleSignature": { "yaraRule": "YARA_RULE10" } }, { "yaraRuleSignature": { "yaraRule": "YARA_RULE25" } } ] }, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [ { "binary": { "path": "BINARY_PATH" }, "script": {}, "args": [ "./miner", "" ], "pid": "123", "parentPid": "456", "name": "miner" } ], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "project_display_name": "DISPLAY_NAME", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Malware: Malicious file on disk (YARA)
{ "findings": { "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID", "category": "Malware: Malicious file on disk (YARA)", "createTime": "2023-01-05T00:37:38.450Z", "eventTime": "2023-01-05T01:12:48.828Z", "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": { "signatures": [ { "yaraRuleSignature": { "yaraRule": "M_Backdoor_REDSONJA_4" }, "signatureType": "SIGNATURE_TYPE_FILE", }, { "yaraRuleSignature": { "yaraRule": "M_Backdoor_REDSONJA_3" }, "signatureType": "SIGNATURE_TYPE_FILE", } ] }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "files": [ { "diskPath": { "partition_uuid": "b411dc99-f0a0-4c87-9e05-184977be8539", "relative_path": "RELATIVE_PATH" }, "size": "21238", "sha256": "65d860160bdc9b98abf72407e14ca40b609417de7939897d3b58d55787aaef69", "hashedSize": "21238" } ], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "project_display_name": "DISPLAY_NAME", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
検出結果の状態を変更する
VM Threat Detection によって識別された脅威を解決しても、サービスの後続のスキャンで検出結果の状態は自動的に「無効」に設定されません。脅威ドメインの性質上、VM Threat Detection では、脅威が軽減されたか、検出を回避するために変更されたかどうかを判別できません。
セキュリティ チームは、脅威が軽減されたと判断したときに、次の手順で検出結果の状態を「無効」に変更できます。
Google Cloud コンソールで Security Command Center の [検出] ページに移動します。
[表示] の横にある [ソースタイプ] をクリックします。
[ソースタイプ] リストで、[Virtual Machine Threat Detection] を選択します。テーブルに、選択したソースタイプの検出結果が表示されます。
解決された検索結果の横にあるチェックボックスをオンにします。
[アクティブ状態を変更] をクリックします。
[無効] をクリックします。
Google Cloudの VM Threat Detection を有効または無効にする
このセクションでは、Compute Engine VM で VM Threat Detection を有効または無効にする方法について説明します。AWS VM 用 VM Threat Detection を有効にするには、AWS 用 VM Threat Detection を有効にするをご覧ください。
VM Threat Detection は、このサービスの提供が開始した 2022 年 7 月 15 日以降に Security Command Center Premium に登録されたすべてのお客様に対してデフォルトで有効になっています。必要に応じて、プロジェクトまたは組織で手動で無効にするか、再度有効にできます。
組織またはプロジェクトで VM Threat Detection を有効にすると、その組織またはプロジェクト内でサポートされているすべてのリソースが自動的にスキャンされます。 逆に、組織またはプロジェクトで VM Threat Detection を無効にすると、サービスは、組織内でサポートされているすべてのリソースのスキャンを停止します。
VM Threat Detection を有効または無効にするには、次の操作を行います。
コンソール
Google Cloud コンソールで、Virtual Machine Threat Detection の [サービスの有効化] ページに移動します。
組織またはプロジェクトを選択します。
[サービスの有効化] タブの [Virtual Machine Threat Detection] 列で、変更する組織、フォルダ、またはプロジェクトの有効化ステータスを選択し、次のいずれかを選択します。
- 有効にする: VM Threat Detection を有効にします。
- 無効にする: VM Threat Detection を無効にします。
- 継承: 親フォルダまたは組織から有効化ステータスを継承します。プロジェクトとフォルダでのみ使用できます。
gcloud
gcloud scc manage services update コマンドは、Security Command Center のサービスまたはモジュールの状態を更新します。
後述のコマンドデータを使用する前に、次のように置き換えます。
-
RESOURCE_TYPE: 更新するリソースのタイプ(organization、folder、またはproject) -
RESOURCE_ID: 更新する組織、フォルダ、またはプロジェクトの数値識別子。プロジェクトの場合、英数字のプロジェクト ID を使用することもできます。 -
NEW_STATE: VM Threat Detection を有効にするにはENABLED、VM Threat Detection を無効にする場合はDISABLED、親リソースの有効化ステータスを継承する場合(プロジェクトとフォルダにのみ有効)はINHERITED。
gcloud scc manage services update コマンドを実行します。
Linux、macOS、Cloud Shell
gcloud scc manage services update vm-threat-detection \ --RESOURCE_TYPE=RESOURCE_ID \ --enablement-state=NEW_STATE
Windows(PowerShell)
gcloud scc manage services update vm-threat-detection ` --RESOURCE_TYPE=RESOURCE_ID ` --enablement-state=NEW_STATE
Windows(cmd.exe)
gcloud scc manage services update vm-threat-detection ^ --RESOURCE_TYPE=RESOURCE_ID ^ --enablement-state=NEW_STATE
次のようなレスポンスが返されます。
effectiveEnablementState: ENABLED
modules:
CRYPTOMINING_HASH:
effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
CRYPTOMINING_YARA:
effectiveEnablementState: ENABLED
KERNEL_INTEGRITY_TAMPERING:
effectiveEnablementState: ENABLED
KERNEL_MEMORY_TAMPERING:
effectiveEnablementState: ENABLED
MALWARE_DISK_SCAN_YARA:
effectiveEnablementState: ENABLED
name: projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection
updateTime: '2024-08-05T22:32:01.536452397Z'
REST
Security Command Center Management API の RESOURCE_TYPE.locations.securityCenterServices.patch メソッドは、Security Command Center サービスまたはモジュールの状態を更新します。
リクエストのデータを使用する前に、次のように置き換えます。
-
RESOURCE_TYPE: 更新するリソースのタイプ(organizations、folders、またはprojects) -
QUOTA_PROJECT: 課金と割り当てのトラッキングに使用するプロジェクト ID -
RESOURCE_ID: 更新する組織、フォルダ、またはプロジェクトの数値識別子。プロジェクトの場合、英数字のプロジェクト ID を使用することもできます。 -
NEW_STATE: VM Threat Detection を有効にするにはENABLED、VM Threat Detection を無効にする場合はDISABLED、親リソースの有効化ステータスを継承する場合(プロジェクトとフォルダにのみ有効)はINHERITED。
HTTP メソッドと URL:
PATCH https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/vm-threat-detection?updateMask=intendedEnablementState
リクエストの本文(JSON):
{
"intendedEnablementState": "NEW_STATE"
}
リクエストを送信するには、次のいずれかのオプションを展開します。
次のような JSON レスポンスが返されます。
{
"name": "projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection",
"effectiveEnablementState": "ENABLED",
"modules": {
"CRYPTOMINING_YARA": {
"effectiveEnablementState": "ENABLED"
},
"KERNEL_MEMORY_TAMPERING": {
"effectiveEnablementState": "ENABLED"
},
"KERNEL_INTEGRITY_TAMPERING": {
"effectiveEnablementState": "ENABLED"
},
"CRYPTOMINING_HASH": {
"intendedEnablementState": "ENABLED",
"effectiveEnablementState": "ENABLED"
},
"MALWARE_DISK_SCAN_YARA": {
"effectiveEnablementState": "ENABLED"
}
},
"updateTime": "2024-08-05T22:32:01.536452397Z"
}
VM Threat Detection モジュールを有効または無効にする
個々の VM Threat Detection 検出機能(モジュール)を有効または無効にするには、次の操作を行います。変更が反映されるまでには、最長で 1 時間ほどかかることがあります。
すべての VM Threat Detection の脅威の検出結果と、それらを生成するモジュールについては、脅威の検出結果をご覧ください。
コンソール
Google Cloud コンソールでは、組織レベルで VM Threat Detection モジュールを有効または無効にできます。フォルダレベルまたはプロジェクト レベルで VM Threat Detection モジュールを有効または無効にするには、gcloud CLI または REST API を使用します。
Google Cloud コンソールで、[Virtual Machine Threat Detection Modules] ページに移動します。
モジュールを有効または無効にするクラウド プロバイダのタブ([Google Cloud] など)をクリックします。
[モジュール] タブの [ステータス] 列で、有効または無効にするモジュールの現在のステータスを選択し、次のいずれかを選択します。
- 有効: モジュールを有効にします。
- 無効: モジュールを無効にします。
gcloud
gcloud scc manage services update コマンドは、Security Command Center のサービスまたはモジュールの状態を更新します。
後述のコマンドデータを使用する前に、次のように置き換えます。
-
RESOURCE_TYPE: 更新するリソースのタイプ(organization、folder、またはproject) -
RESOURCE_ID: 更新する組織、フォルダ、またはプロジェクトの数値識別子。プロジェクトの場合、英数字のプロジェクト ID を使用することもできます。 -
MODULE_NAME: 有効または無効にするモジュールの名前。有効な値については、脅威の検出結果をご覧ください。 -
NEW_STATE: モジュールを有効にする場合はENABLED、モジュールを無効にする場合はDISABLED、親リソースの有効化ステータスを継承する(プロジェクトとフォルダにのみ有効)場合はINHERITED。
次の内容を request.json という名前のファイルに保存します。
{ "MODULE_NAME": { "intendedEnablementState": "NEW_STATE" } }
gcloud scc manage services update コマンドを実行します。
Linux、macOS、Cloud Shell
gcloud scc manage services update vm-threat-detection \ --RESOURCE_TYPE=RESOURCE_ID \ --enablement-state=ENABLED \ --module-config-file=request.json
Windows(PowerShell)
gcloud scc manage services update vm-threat-detection ` --RESOURCE_TYPE=RESOURCE_ID ` --enablement-state=ENABLED \ --module-config-file=request.json
Windows(cmd.exe)
gcloud scc manage services update vm-threat-detection ^ --RESOURCE_TYPE=RESOURCE_ID ^ --enablement-state=ENABLED \ --module-config-file=request.json
次のようなレスポンスが返されます。
effectiveEnablementState: ENABLED
modules:
CRYPTOMINING_HASH:
effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
CRYPTOMINING_YARA:
effectiveEnablementState: ENABLED
KERNEL_INTEGRITY_TAMPERING:
effectiveEnablementState: ENABLED
KERNEL_MEMORY_TAMPERING:
effectiveEnablementState: ENABLED
MALWARE_DISK_SCAN_YARA:
effectiveEnablementState: ENABLED
name: projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection
updateTime: '2024-08-05T22:32:01.536452397Z'
REST
Security Command Center Management API の RESOURCE_TYPE.locations.securityCenterServices.patch メソッドは、Security Command Center サービスまたはモジュールの状態を更新します。
リクエストのデータを使用する前に、次のように置き換えます。
-
RESOURCE_TYPE: 更新するリソースのタイプ(organizations、folders、またはprojects) -
QUOTA_PROJECT: 課金と割り当てのトラッキングに使用するプロジェクト ID -
RESOURCE_ID: 更新する組織、フォルダ、またはプロジェクトの数値識別子。プロジェクトの場合、英数字のプロジェクト ID を使用することもできます。 -
MODULE_NAME: 有効または無効にするモジュールの名前。有効な値については、脅威の検出結果をご覧ください。 -
NEW_STATE: モジュールを有効にする場合はENABLED、モジュールを無効にする場合はDISABLED、親リソースの有効化ステータスを継承する(プロジェクトとフォルダにのみ有効)場合はINHERITED。
HTTP メソッドと URL:
PATCH https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/vm-threat-detection?updateMask=modules
リクエストの本文(JSON):
{
"modules": {
"MODULE_NAME": {
"intendedEnablementState": "NEW_STATE"
}
}
}
リクエストを送信するには、次のいずれかのオプションを展開します。
次のような JSON レスポンスが返されます。
{
"name": "projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection",
"effectiveEnablementState": "ENABLED",
"modules": {
"CRYPTOMINING_YARA": {
"effectiveEnablementState": "ENABLED"
},
"KERNEL_MEMORY_TAMPERING": {
"effectiveEnablementState": "ENABLED"
},
"KERNEL_INTEGRITY_TAMPERING": {
"effectiveEnablementState": "ENABLED"
},
"CRYPTOMINING_HASH": {
"intendedEnablementState": "ENABLED",
"effectiveEnablementState": "ENABLED"
},
"MALWARE_DISK_SCAN_YARA": {
"effectiveEnablementState": "ENABLED"
}
},
"updateTime": "2024-08-05T22:32:01.536452397Z"
}
VM Threat Detection モジュールの設定を表示する
すべての VM Threat Detection の脅威の検出結果と、それらを生成するモジュールについては、脅威の検出結果の表をご覧ください。
コンソール
Google Cloud コンソールでは、組織レベルで VM Threat Detection モジュールの設定を表示できます。フォルダレベルまたはプロジェクト レベルで VM Threat Detection モジュールの設定を表示するには、gcloud CLI または REST API を使用します。
Google Cloud コンソールで設定を表示するには、[Virtual Machine Threat Detection Modules] ページに移動します。
gcloud
gcloud scc manage services describe コマンドは、Security Command Center サービスまたはモジュールの状態を取得します。
後述のコマンドデータを使用する前に、次のように置き換えます。
-
RESOURCE_TYPE: 取得するリソースのタイプ(organization、folder、またはproject) -
RESOURCE_ID: 取得する組織、フォルダ、またはプロジェクトの数値識別子。プロジェクトの場合、英数字のプロジェクト ID を使用することもできます。
gcloud scc manage services describe コマンドを実行します。
Linux、macOS、Cloud Shell
gcloud scc manage services describe vm-threat-detection \ --RESOURCE_TYPE=RESOURCE_ID
Windows(PowerShell)
gcloud scc manage services describe vm-threat-detection ` --RESOURCE_TYPE=RESOURCE_ID
Windows(cmd.exe)
gcloud scc manage services describe vm-threat-detection ^ --RESOURCE_TYPE=RESOURCE_ID
次のようなレスポンスが返されます。
effectiveEnablementState: ENABLED
modules:
CRYPTOMINING_HASH:
effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
CRYPTOMINING_YARA:
effectiveEnablementState: ENABLED
KERNEL_INTEGRITY_TAMPERING:
effectiveEnablementState: ENABLED
KERNEL_MEMORY_TAMPERING:
effectiveEnablementState: ENABLED
MALWARE_DISK_SCAN_YARA:
effectiveEnablementState: ENABLED
name: projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection
updateTime: '2024-08-05T22:32:01.536452397Z'
REST
Security Command Center Management API の RESOURCE_TYPE.locations.securityCenterServices.get メソッドは、Security Command Center サービスまたはモジュールの状態を取得します。
リクエストのデータを使用する前に、次のように置き換えます。
-
RESOURCE_TYPE: 取得するリソースのタイプ(organizations、folders、またはprojects) -
QUOTA_PROJECT: 課金と割り当てのトラッキングに使用するプロジェクト ID -
RESOURCE_ID: 取得する組織、フォルダ、またはプロジェクトの数値識別子。プロジェクトの場合、英数字のプロジェクト ID を使用することもできます。
HTTP メソッドと URL:
GET https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/vm-threat-detection
リクエストを送信するには、次のいずれかのオプションを展開します。
次のような JSON レスポンスが返されます。
{
"name": "projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection",
"effectiveEnablementState": "ENABLED",
"modules": {
"CRYPTOMINING_YARA": {
"effectiveEnablementState": "ENABLED"
},
"KERNEL_MEMORY_TAMPERING": {
"effectiveEnablementState": "ENABLED"
},
"KERNEL_INTEGRITY_TAMPERING": {
"effectiveEnablementState": "ENABLED"
},
"CRYPTOMINING_HASH": {
"intendedEnablementState": "ENABLED",
"effectiveEnablementState": "ENABLED"
},
"MALWARE_DISK_SCAN_YARA": {
"effectiveEnablementState": "ENABLED"
}
},
"updateTime": "2024-08-05T22:32:01.536452397Z"
}
暗号通貨マイニング検出用のソフトウェア名と YARA ルール
以下に、暗号通貨マイニングの検出結果をトリガーするバイナリの名前と YARA ルールのリストを示します。リストを表示するには、ノードを展開してください。
Execution: Cryptocurrency Mining Hash Match
- Arionum CPU miner: Arionum 暗号通貨のマイニング ソフトウェア
- Avermore: Scrypt ベースの暗号通貨のマイニング ソフトウェア
- Beam CUDA miner: Equihash ベースの暗号通貨のマイニング ソフトウェア
- Beam OpenCL miner: Equihash ベースの暗号通貨のマイニング ソフトウェア
- BFGMiner: Bitcoin の ASIC/FPGA ベースのマイニング ソフトウェア
- BMiner: さまざまな暗号通貨のマイニング ソフトウェア
- Cast XMR: CryptoNight ベースの暗号通貨のマイニング ソフトウェア
- ccminer: CUDA ベースのマイニング ソフトウェア
- cgminer: ビットコインの ASIC/FPGA ベースのマイニング ソフトウェア
- Claymore's miner: さまざまな暗号通貨の GPU ベースのマイニング ソフトウェア
- CPUMiner: CPU ベースのマイニング ソフトウェア ファミリー
- CryptoDredge: CryptoDredge のマイニング ソフトウェア ファミリー
- CryptoGoblin: CryptoNight ベースの暗号通貨のマイニング ソフトウェア
- DamoMiner: Ethereum とその他の暗号通貨の GPU ベースのマイニング ソフトウェア
- DigitsMiner: Digits のマイニング ソフトウェア
- EasyMiner: ビットコインなどの暗号通貨のマイニング ソフトウェア
- Ethminer: Ethereum などの暗号通貨のマイニング ソフトウェア
- EWBF: Equihash ベースの暗号通貨のマイニング ソフトウェア
- FinMiner: Ethash と CryptoNight ベースの暗号通貨のマイニング ソフトウェア
- Funakoshi Miner: Bitcoin-Gold 暗号通貨のマイニング ソフトウェア
- Geth: Ethereum のマイニング ソフトウェア
- GMiner: 各種の暗号通貨のマイニング ソフトウェア
- gominer: Decred のマイニング ソフトウェア
- GrinGoldMiner: Grin のマイニング ソフトウェア
- Hush: Zcash ベースの暗号通貨のマイニング ソフトウェア
- IxiMiner: Ixian のマイニング ソフトウェア
- kawpowminer: Ravencoin のマイニング ソフトウェア
- Komodo: Komodo のマイニング ソフトウェア ファミリー
- lolMiner: さまざまな暗号通貨のマイニング ソフトウェア
- lukMiner: さまざまな暗号通貨のマイニング ソフトウェア
- MinerGate: さまざまな暗号通貨のマイニング ソフトウェア
- miniZ: Equihash ベースの暗号通貨のマイニング ソフトウェア
- Mirai: 暗号通貨のマイニングに使用できるマルウェア
- MultiMiner: さまざまな暗号通貨のマイニング ソフトウェア
- nanominer: さまざまな暗号通貨のマイニング ソフトウェア
- NBMiner: さまざまな暗号通貨のマイニング ソフトウェア
- Nevermore: さまざまな暗号通貨マイニング ソフトウェア
- nheqminer: NiceHash のマイニング ソフトウェア
- NinjaRig: Argon2 ベースの暗号通貨のマイニング ソフトウェア
- NodeCore PoW CUDA Miner: VeriBlock のマイニング ソフトウェア
- NoncerPro: Nimiq のマイニング ソフトウェア
- Optiminer/Equihash: Equihash ベースの暗号通貨のマイニング ソフトウェア
- PascalCoin: PascalCoin のマイニング ソフトウェア ファミリー
- PhoenixMiner: Ethereum のマイニング ソフトウェア
- Pooler CPU Miner: Litecoin と Bitcoin のマイニング ソフトウェア
- ProgPoW Miner: Ethereum などの暗号通貨のマイニング ソフトウェア
- rhminer: PascalCoin のマイニング ソフトウェア
- sgminer: Scrypt ベースの暗号通貨のマイニング ソフトウェア
- simplecoin: Scrypt ベースの SimpleCoin のマイニング ソフトウェア ファミリー
- Skypool Nimiq Miner: Nimiq のマイニング ソフトウェア
- SwapReferenceMiner: Grin のマイニング ソフトウェア
- Team Red Miner: さまざまな暗号通貨の AMD ベースのマイニング ソフトウェア
- T-Rex: さまざまな暗号通貨のマイニング ソフトウェア
- TT-Miner: さまざまな暗号通貨のマイニング ソフトウェア
- Ubqminer: Ubqhash ベースの暗号通貨のマイニング ソフトウェア
- VersusCoin: VersusCoin のマイニング ソフトウェア
- violetminer: Argon2 ベースの暗号通貨のマイニング ソフトウェア
- webchain-miner: MintMe のマイニング ソフトウェア
- WildRig: さまざまな暗号通貨のマイニング ソフトウェア
- XCASH_ALL_Miner: XCASH のマイニング ソフトウェア
- xFash: MinerGate のマイニング ソフトウェア
- XLArig: CryptoNight ベースの暗号通貨のマイニング ソフトウェア
- XMRig: さまざまな暗号通貨のマイニング ソフトウェア
- Xmr-Stak: CryptoNight ベースの暗号通貨のマイニング ソフトウェア
- XMR-Stak TurtleCoin: CryptoNight ベースの暗号通貨のマイニング ソフトウェア
- Xtl-Stak: CryptoNight ベースの暗号通貨のマイニング ソフトウェア
- Yam Miner: MinerGate のマイニング ソフトウェア
- YCash: YCash のマイニング ソフトウェア
- ZCoin: ZCoin/Fire のマイニング ソフトウェア
- Zealot/Enemy: さまざまな暗号通貨のマイニング ソフトウェア
- Cryptocurrency miner signal1
1 この一般的な脅威名は、不明な暗号通貨マイナーが VM で稼働している可能性があるものの、VM Threat Detection にマイナーに関する特定の情報がないことを示しています。
Execution: Cryptocurrency Mining YARA Rule
- YARA_RULE1: Monero のマイニング ソフトウェアを照合
- YARA_RULE9: Blake2 と AES 暗号を使用するマイニング ソフトウェアを照合
- YARA_RULE10: CryptoNight のプルーフオブワーク ルーチンを使用するマイニング ソフトウェアを照合
- YARA_RULE15: NBMiner のマイニング ソフトウェアを照合
- YARA_RULE17: Scrypt のプルーフオブワーク ルーチンを使用するマイニング ソフトウェアを照合
- YARA_RULE18: Scrypt のプルーフオブワーク ルーチンを使用するマイニング ソフトウェアを照合
- YARA_RULE19: BFGMiner のマイニング ソフトウェアを照合
- YARA_RULE24: XMR-Stak のマイニング ソフトウェアを照合
- YARA_RULE25: XMRig のマイニング ソフトウェアを照合
- DYNAMIC_YARA_RULE_BFGMINER_2: BFGMiner のマイニング ソフトウェアを照合
次のステップ
- VM Threat Detection について詳細を確認する。
- VM Threat Detection が VPC Service Controls の境界内の VM をスキャンできるようにする方法を確認する。
- AWS で VM Threat Detection を有効にする方法を確認する。
- VM Threat Detection の検出結果の調査方法を確認する。