Présentation d'Agent Engine Threat Detection

Ce document décrit Agent Engine Threat Detection et ses détecteurs.

Agent Engine Threat Detection est un service intégré à Security Command Center qui vous aide à détecter et à examiner les attaques potentielles sur les agents d'IA déployés dans l'environnement d'exécution Vertex AI Agent Engine. Si le service Agent Engine Threat Detection détecte une attaque potentielle, il génère un résultat dans Security Command Center en temps quasi réel.

Agent Engine Threat Detection surveille les agents d'IA compatibles et détecte les menaces d'exécution les plus courantes. Les menaces d'exécution incluent l'exécution de binaires ou de scripts malveillants, les échappements de conteneur, les shells inversés et l'utilisation d'outils d'attaque dans l'environnement de l'agent.

De plus, les détecteurs du plan de contrôle d'Event Threat Detection analysent différents journaux d'audit (y compris les journaux Identity and Access Management, BigQuery et Cloud SQL) et les journaux Vertex AI Agent Engine (stdout et stderr) pour détecter les activités suspectes. Les menaces liées au plan de contrôle incluent les tentatives d'exfiltration de données, les refus d'autorisation excessifs et la génération de jetons suspects.

Avantages

Agent Engine Threat Detection offre les avantages suivants :

  • Réduisez de manière proactive les risques liés aux charges de travail d'IA. Agent Engine Threat Detection vous aide à détecter les menaces et à y répondre rapidement en surveillant le comportement et l'environnement de vos agents d'IA.
  • Gérez la sécurité de l'IA dans un emplacement unifié. Les résultats d'Agent Engine Threat Detection s'affichent directement dans Security Command Center. Vous disposez d'une interface centrale pour afficher et gérer les résultats des menaces, ainsi que d'autres risques liés à la sécurité du cloud.

Fonctionnement

La détection des menaces par Agent Engine collecte des données de télémétrie auprès des agents d'IA hébergés pour analyser les processus, les scripts et les bibliothèques susceptibles d'indiquer une attaque d'exécution. Lorsque Agent Engine Threat Detection détecte une menace potentielle, il effectue les actions suivantes :

  1. La détection des menaces Agent Engine utilise un processus d'observation pour collecter des informations sur les événements pendant l'exécution de la charge de travail agentique. Le processus d'observation peut prendre jusqu'à une minute pour démarrer et collecter des informations.

  2. Agent Engine Threat Detection analyse les informations sur les événements collectées pour déterminer si un événement indique un incident. Agent Engine Threat Detection utilise le traitement du langage naturel (NLP) pour analyser les scripts Bash et Python à la recherche de code malveillant.

    • Si Agent Engine Threat Detection identifie un incident, il le signale en tant que résultat dans Security Command Center.

    • Si Agent Engine Threat Detection n'identifie pas d'incident, il ne stocke aucune information.

    • Toutes les données collectées sont traitées en mémoire et ne sont pas conservées après l'analyse, sauf si elles sont identifiées comme un incident et signalées comme un résultat.

Pour savoir comment examiner les résultats d'Agent Engine Threat Detection dans la consoleGoogle Cloud , consultez Examiner les résultats.

Détecteurs

Cette section liste les détecteurs de plan de contrôle et d'exécution qui surveillent les agents d'IA déployés dans Vertex AI Agent Engine Runtime.

Détecteurs d'exécution

Agent Engine Threat Detection inclut les détecteurs d'exécution suivants :

Nom à afficher Nom du module Description
Exécution : binaire malveillant ajouté exécuté (preview) AGENT_ENGINE_ADDED_MALICIOUS_BINARY_EXECUTED

Un processus a exécuté un fichier binaire que les renseignements sur les menaces identifient comme malveillant. Ce fichier binaire ne faisait pas partie de la charge de travail agentique d'origine.

Cet événement suggère fortement qu'un pirate informatique a le contrôle de la charge de travail et exécute un logiciel malveillant.

Exécution : bibliothèque malveillante ajoutée chargée (aperçu) AGENT_ENGINE_ADDED_MALICIOUS_LIBRARY_LOADED

Un processus a chargé une bibliothèque que les renseignements sur les menaces identifient comme malveillante. Cette bibliothèque ne faisait pas partie de la charge de travail agentique d'origine.

Cet événement suggère qu'un pirate informatique a probablement le contrôle de la charge de travail et exécute un logiciel malveillant.

Exécution : binaire malveillant intégré exécuté (aperçu) AGENT_ENGINE_BUILT_IN_MALICIOUS_BINARY_EXECUTED

Un processus a exécuté un fichier binaire que les renseignements sur les menaces identifient comme malveillant. Ce fichier binaire faisait partie de la charge de travail agentique d'origine.

Cet événement peut suggérer qu'un pirate informatique déploie une charge de travail malveillante. Par exemple, l'acteur peut avoir pris le contrôle d'un pipeline de compilation légitime et injecté le fichier binaire malveillant dans la charge de travail agentique.

Exécution : échappement de conteneur (aperçu) AGENT_ENGINE_CONTAINER_ESCAPE

Un processus s'exécutant dans le conteneur a tenté de contourner l'isolation du conteneur en utilisant des binaires ou des techniques d'exploitation connus, que la veille sur les menaces identifie comme des menaces potentielles. Une évasion réussie peut permettre à un pirate informatique d'accéder au système hôte et potentiellement de compromettre l'ensemble de l'environnement.

Cette action suggère qu'un pirate informatique exploite des failles pour accéder sans autorisation au système hôte ou à une infrastructure plus large.

Exécution : exécution d'un outil d'attaque de Kubernetes (aperçu) AGENT_ENGINE_KUBERNETES_ATTACK_TOOL_EXECUTION

Un processus a exécuté un outil d'attaque spécifique à Kubernetes, que la veille sur les menaces identifie comme une menace potentielle.

Cette action suggère qu'un pirate informatique a réussi à accéder au cluster et utilise l'outil pour exploiter des failles ou des configurations spécifiques à Kubernetes.

Exécution : exécution d'un outil de reconnaissance local (aperçu) AGENT_ENGINE_LOCAL_RECONNAISSANCE_TOOL_EXECUTION

Un processus a exécuté un outil de reconnaissance local qui ne fait généralement pas partie de la charge de travail agentique. L'analyse des renseignements sur les menaces identifie ces outils comme des menaces potentielles.

Cet événement suggère qu'un pirate informatique tente de collecter des informations sur le système interne, par exemple en cartographiant l'infrastructure, en identifiant les failles ou en collectant des données sur les configurations du système.

Exécution : code Python malveillant exécuté (aperçu) AGENT_ENGINE_MALICIOUS_PYTHON_EXECUTED

Un modèle de machine learning a identifié un code Python exécuté comme étant malveillant. Un pirate informatique peut utiliser Python pour télécharger des outils ou des fichiers dans un environnement compromis et exécuter des commandes sans utiliser de binaires.

Le détecteur utilise le traitement du langage naturel (TLN) pour analyser le contenu du code Python. Étant donné que cette approche n'est pas basée sur les signatures, les détecteurs peuvent identifier le code Python malveillant connu et nouveau.

Exécution : binaire malveillant modifié exécuté (aperçu) AGENT_ENGINE_MODIFIED_MALICIOUS_BINARY_EXECUTED

Un processus a exécuté un fichier binaire que les renseignements sur les menaces identifient comme malveillant. Ce fichier binaire faisait partie de la charge de travail agentique d'origine, mais a été modifié lors de l'exécution.

Cet événement suggère qu'un pirate informatique pourrait avoir le contrôle de la charge de travail et exécuter un logiciel malveillant.

Exécution : bibliothèque malveillante modifiée chargée (aperçu) AGENT_ENGINE_MODIFIED_MALICIOUS_LIBRARY_LOADED

Un processus a chargé une bibliothèque que les renseignements sur les menaces identifient comme malveillante. Cette bibliothèque faisait partie de la charge de travail agentique d'origine, mais a été modifiée au moment de l'exécution.

Cet événement suggère qu'un pirate informatique a le contrôle de la charge de travail et exécute un logiciel malveillant.

Script malveillant exécuté (version preview) AGENT_ENGINE_MALICIOUS_SCRIPT_EXECUTED

Un modèle de machine learning a identifié un code Bash exécuté comme étant malveillant. Un pirate informatique peut utiliser Bash pour télécharger des outils ou des fichiers dans un environnement compromis et exécuter des commandes sans utiliser de binaires.

Le détecteur utilise le traitement du langage naturel pour analyser le contenu du code Bash. Étant donné que cette approche n'est pas basée sur les signatures, les détecteurs peuvent identifier les codes Bash malveillants connus et nouveaux.
URL malveillante observée (aperçu) AGENT_ENGINE_MALICIOUS_URL_OBSERVED

Agent Engine Threat Detection a détecté une URL malveillante dans la liste des arguments d'un processus en cours d'exécution.

Le détecteur compare ces URL aux listes de ressources Web non sécurisées gérées par le service de navigation sécurisée de Google. Si vous pensez que Google a classé une URL comme site de phishing ou logiciel malveillant par erreur, signalez le problème sur la page Signaler des données incorrectes.
Shell inversé (aperçu) AGENT_ENGINE_REVERSE_SHELL

Un processus a commencé par une redirection de flux vers un socket connecté distant. Le détecteur recherche stdin lié à un socket distant.

Une interface système inversée permet à un pirate informatique de communiquer à partir d'une charge de travail compromise vers une machine contrôlée par un pirate informatique. Le pirate informatique peut ensuite commander et contrôler la charge de travail, par exemple dans le cadre d'un botnet.

Shell enfant inattendu (preview) AGENT_ENGINE_UNEXPECTED_CHILD_SHELL

Un processus qui n'invoque normalement pas de shells a généré un processus de shell de manière inattendue.

Le détecteur surveille les exécutions de processus et génère un résultat lorsqu'un processus parent connu génère un shell de manière inattendue.

Détecteurs du plan de contrôle

Cette section décrit les détecteurs du plan de contrôle d'Event Threat Detection qui sont spécifiquement conçus pour les agents d'IA déployés dans Vertex AI Agent Engine Runtime. Event Threat Detection dispose également de détecteurs pour les menaces générales liées à l'IA.

Ces détecteurs de plan de contrôle sont activés par défaut. Vous gérez ces détecteurs de la même manière que les autres détecteurs Event Threat Detection. Pour en savoir plus, consultez Utiliser Event Threat Detection.

Nom à afficher Nom de l'API Types de sources de journal Description
Découverte : Auto-enquête sur les comptes de service Agent Engine (aperçu) AGENT_ENGINE_IAM_ANOMALOUS_BEHAVIOR_SERVICE_ACCOUNT_GETS_OWN_IAM_POLICY Journaux d'audit Cloud :
Journaux d'audit d'accès aux données IAM
Autorisations :
DATA_READ

Une identité associée à un agent d'IA déployé sur Vertex AI Agent Engine a été utilisée pour examiner les rôles et les autorisations associés à ce même compte de service.

Rôles sensibles

Les résultats sont classés par niveau de gravité Élevé ou Moyen, en fonction de la sensibilité des rôles attribués. Pour en savoir plus, consultez Rôles et autorisations IAM sensibles.

Exfiltration : exfiltration de données BigQuery initiée par Agent Engine (preview) AGENT_ENGINE_BIG_QUERY_EXFIL_VPC_PERIMETER_VIOLATION
AGENT_ENGINE_BIG_QUERY_EXFIL_TO_EXTERNAL_TABLE 		Journaux d'audit Cloud : Journaux d'accès aux données BigQueryAuditMetadata Autorisations :
DATA_READ

Détecte les scénarios suivants d'exfiltration de données BigQuery initiée par un agent déployé sur Vertex AI Agent Engine :

  • Des ressources appartenant à l'organisation protégée ont été enregistrées en dehors de l'organisation, y compris les opérations de copie ou de transfert.

    Ce scénario correspond au type de résultat AGENT_ENGINE_BIG_QUERY_EXFIL_TO_EXTERNAL_TABLE et présente un niveau de gravité élevé.

  • Des tentatives d'accès aux ressources BigQuery protégées par VPC Service Controls ont été effectuées.

    Ce scénario correspond au type de résultat AGENT_ENGINE_BIG_QUERY_EXFIL_VPC_PERIMETER_VIOLATION et présente un niveau de gravité faible.

Exfiltration : exfiltration Cloud SQL initiée par Agent Engine (preview) AGENT_ENGINE_CLOUDSQL_EXFIL_EXPORT_TO_PUBLIC_GCS
AGENT_ENGINE_CLOUDSQL_EXFIL_EXPORT_TO_EXTERNAL_GCS 		Cloud Audit Logs : Journaux d'accès aux données MySQL
Journaux d'accès aux données PostgreSQL
Journaux d'accès aux données SQL Server

Détecte les scénarios suivants d'exfiltration de données Cloud SQL initiée par un agent déployé dans Vertex AI Agent Engine :

  • Les données d'instance actives ont été exportées vers un bucket Cloud Storage en dehors de l'organisation.
  • Les données d'instance actives ont été exportées vers un bucket Cloud Storage appartenant à l'organisation et accessible au public.

Pour les activations du niveau Security Command Center Premium au niveau du projet, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente. Par défaut, les résultats sont classés dans le niveau de gravité élevé.

Exfiltration : extraction de données BigQuery initiée par Agent Engine (preview) AGENT_ENGINE_BIG_QUERY_EXFIL_TO_CLOUD_STORAGE Journaux d'audit Cloud : Journaux d'accès aux données BigQueryAuditMetadata Autorisations :
DATA_READ

Détecte les scénarios suivants d'extraction de données BigQuery initiée par un agent déployé sur Vertex AI Agent Engine :

  • Une ressource BigQuery appartenant à l'organisation protégée a été enregistrée, via des opérations d'extraction, dans un bucket Cloud Storage situé en dehors de l'organisation.
  • Une ressource BigQuery appartenant à l'organisation protégée a été enregistrée, via des opérations d'extraction, dans un bucket Cloud Storage accessible au public et appartenant à cette organisation.

Pour les activations du niveau Security Command Center Premium au niveau du projet, ce résultat n'est disponible que si le niveau Standard est activé dans l'organisation parente. Par défaut, les résultats sont classés dans le niveau de gravité faible.
Accès initial : opérations refusées en raison d'autorisations excessives pour l'identité Agent Engine (bêta) AGENT_ENGINE_EXCESSIVE_FAILED_ATTEMPT Journaux d'audit Cloud : Journaux des activités d'administration Une identité associée à un agent d'IA déployé sur Vertex AI Agent Engine a déclenché à plusieurs reprises des erreurs Permission denied en tentant d'apporter des modifications à plusieurs méthodes et services. Par défaut, les résultats sont classés dans le niveau de gravité moyen.
Élévation des privilèges : génération de jetons suspects par Agent Engine (Preview) AGENT_ENGINE_SUSPICIOUS_TOKEN_GENERATION_IMPLICIT_DELEGATION Cloud Audit Logs :
Journaux d'audit pour l'accès aux données IAM
 L'autorisation iam.serviceAccounts.implicitDelegation a été utilisée de manière abusive pour générer des jetons d'accès à partir d'un compte de service disposant de droits plus étendus via un Vertex AI Agent Engine. Par défaut, les résultats sont classés dans le niveau de gravité faible.
Élévation des privilèges : génération de jetons suspects par Agent Engine (Preview) AGENT_ENGINE_SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_OPENID Cloud Audit Logs :
Journaux d'audit pour l'accès aux données IAM

L'autorisation IAM iam.serviceAccounts.getOpenIdToken a été utilisée dans plusieurs projets via un Vertex AI Agent Engine.

Ce résultat n'est pas disponible pour les activations au niveau d'un projet. Par défaut, les résultats sont classés dans le niveau de gravité faible.
Élévation des privilèges : génération de jetons suspects par Agent Engine (Preview) AGENT_ENGINE_SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_ACCESS_TOKEN Cloud Audit Logs :
Journaux d'audit pour l'accès aux données IAM

L'autorisation IAM iam.serviceAccounts.getAccessToken a été utilisée dans plusieurs projets via un agent d'IA déployé sur Vertex AI Agent Engine.

Ce résultat n'est pas disponible pour les activations au niveau d'un projet. Par défaut, les résultats sont classés dans le niveau de gravité faible.
Pour les règles abandonnées et arrêtées, consultez Abandons.

Étapes suivantes