Este documento descreve o Agent Engine Threat Detection e os detectores dele.
A detecção de ameaças do Agent Engine é um serviço integrado do Security Command Center que ajuda você a detectar e investigar possíveis ataques a agentes de IA implantados no tempo de execução do Vertex AI Agent Engine. Se o serviço Agent Engine Threat Detection detectar um possível ataque, ele vai gerar uma descoberta no Security Command Center quase em tempo real.
A detecção de ameaças do Agent Engine monitora os agentes de IA compatíveis e detecta as ameaças de tempo de execução mais comuns. As ameaças de tempo de execução incluem a execução de binários ou scripts maliciosos, escapes de contêineres, shells reversos e o uso de ferramentas de ataque no ambiente do agente.
Além disso, os detectores do plano de controle da Detecção de ameaças de eventos analisam vários registros de auditoria (incluindo registros do Identity and Access Management, do BigQuery e do Cloud SQL) e registros do mecanismo de agente da Vertex AI (stdout e stderr) para detectar atividades suspeitas. As ameaças ao plano de controle incluem tentativas de exfiltração de dados, negações de permissão excessivas e geração de tokens suspeitos.
Vantagens
A detecção de ameaças do Agent Engine oferece os seguintes benefícios:
- Reduza proativamente o risco para cargas de trabalho de IA. A detecção de ameaças do Agent Engine ajuda você a detectar e responder a ameaças com antecedência monitorando o comportamento e o ambiente dos seus agentes de IA.
- Gerencie a segurança de IA em um local unificado. As descobertas da detecção de ameaças do Agent Engine aparecem diretamente no Security Command Center. Você tem uma interface central para ver e gerenciar descobertas de ameaças junto com outros riscos de segurança na nuvem.
Como funciona
A detecção de ameaças do Agent Engine coleta telemetria dos agentes de IA hospedados para analisar processos, scripts e bibliotecas que podem indicar um ataque de tempo de execução. Quando a Detecção de ameaças do Agent Engine detecta uma ameaça em potencial, ela faz o seguinte:
A detecção de ameaças do Agent Engine usa um processo de observador para coletar informações de eventos enquanto a carga de trabalho de agente está em execução. O processo de observador pode levar até um minuto para iniciar e coletar informações.
A detecção de ameaças do Agent Engine analisa as informações de eventos coletadas para determinar se um evento indica um incidente. A detecção de ameaças do mecanismo de agente usa o processamento de linguagem natural (PLN) para analisar scripts Bash e Python em busca de códigos maliciosos.
Se a Detecção de ameaças do Agent Engine identificar um incidente, ele será informado como uma descoberta no Security Command Center.
Se a detecção de ameaças do Agent Engine não identificar um incidente, nenhuma informação será armazenada.
Todos os dados coletados são processados na memória e não permanecem após a análise, a menos que sejam identificados como um incidente e relatados como uma descoberta.
Para informações sobre como analisar as descobertas da detecção de ameaças do Agent Engine no consoleGoogle Cloud , consulte Analisar descobertas.
Detectores
Esta seção lista os detectores de tempo de execução e plano de controle que monitoram agentes de IA implantados no tempo de execução do Vertex AI Agent Engine.
Detectores de ambiente de execução
O Agent Engine Threat Detection inclui os seguintes detectores de tempo de execução:
| Nome de exibição | Nome do módulo | Descrição |
|---|---|---|
| Execução: binário malicioso adicionado executado (pré-lançamento) | AGENT_ENGINE_ADDED_MALICIOUS_BINARY_EXECUTED |
Um processo executou um binário que a inteligência de ameaças identificou como malicioso. Esse binário não fazia parte da carga de trabalho original do agente. Esse evento sugere fortemente que um invasor tem controle da carga de trabalho e está executando software malicioso. |
| Execução: biblioteca maliciosa adicionada carregada (pré-lançamento) | AGENT_ENGINE_ADDED_MALICIOUS_LIBRARY_LOADED |
Um processo carregou uma biblioteca que a inteligência de ameaças identifica como maliciosa. Essa biblioteca não fazia parte da carga de trabalho original do agente. Esse evento sugere que um invasor provavelmente tem controle da carga de trabalho e está executando software malicioso. |
| Execução: binário malicioso integrado executado (prévia) | AGENT_ENGINE_BUILT_IN_MALICIOUS_BINARY_EXECUTED |
Um processo executou um binário que a inteligência de ameaças identificou como malicioso. Esse binário fazia parte da carga de trabalho generativa original. Esse evento pode sugerir que um invasor está implantando uma carga de trabalho maliciosa. Por exemplo, o invasor pode ter assumido o controle de um pipeline de build legítimo e injetado o binário malicioso na carga de trabalho de agente. |
| Execução: escape de contêiner (prévia) | AGENT_ENGINE_CONTAINER_ESCAPE |
Um processo em execução dentro do contêiner tentou burlar o isolamento usando técnicas ou binários de exploração conhecidos, que a inteligência de ameaças identifica como ameaças em potencial. Uma fuga bem-sucedida pode permitir que um invasor acesse o sistema host e comprometa todo o ambiente. Essa ação sugere que um invasor está explorando vulnerabilidades para obter acesso não autorizado ao sistema host ou a uma infraestrutura mais ampla. |
| Execução: execução de ferramenta de ataque do Kubernetes (pré-lançamento) | AGENT_ENGINE_KUBERNETES_ATTACK_TOOL_EXECUTION |
Um processo executou uma ferramenta de ataque específica do Kubernetes, que a inteligência de ameaças identifica como uma ameaça em potencial. Essa ação sugere que um invasor conseguiu acesso ao cluster e está usando a ferramenta para explorar vulnerabilidades ou configurações específicas do Kubernetes. |
| Execução: execução da ferramenta de reconhecimento local (pré-lançamento) | AGENT_ENGINE_LOCAL_RECONNAISSANCE_TOOL_EXECUTION |
Um processo executou uma ferramenta de reconhecimento local que normalmente não faz parte da carga de trabalho do agente. A inteligência de ameaças identifica essas ferramentas como ameaças em potencial. Esse evento sugere que um invasor está tentando coletar informações internas do sistema, como mapear a infraestrutura, identificar vulnerabilidades ou coletar dados sobre configurações do sistema. |
| Execução: Python malicioso executado (prévia) | AGENT_ENGINE_MALICIOUS_PYTHON_EXECUTED |
Um modelo de machine learning identificou um código Python executado como malicioso. Um invasor pode usar o Python para baixar ferramentas ou arquivos em um ambiente comprometido e executar comandos sem usar binários. O detector usa o processamento de linguagem natural (PLN) para analisar o conteúdo do código Python. Como essa abordagem não é baseada em assinaturas, os detectores podem identificar códigos Python maliciosos conhecidos e novos. |
| Execução: binário malicioso modificado executado (prévia) | AGENT_ENGINE_MODIFIED_MALICIOUS_BINARY_EXECUTED |
Um processo executou um binário que a inteligência de ameaças identificou como malicioso. Esse binário fazia parte da carga de trabalho original do agente, mas foi modificado durante a execução. Esse evento sugere que um invasor pode ter controle da carga de trabalho e está executando software malicioso. |
| Execução: biblioteca maliciosa modificada carregada (prévia) | AGENT_ENGINE_MODIFIED_MALICIOUS_LIBRARY_LOADED |
Um processo carregou uma biblioteca que a inteligência de ameaças identifica como maliciosa. Essa biblioteca fazia parte da carga de trabalho original do agente, mas foi modificada durante a execução. Esse evento sugere que um invasor tem controle da carga de trabalho e está executando software malicioso. |
| Script malicioso executado (pré-lançamento) | AGENT_ENGINE_MALICIOUS_SCRIPT_EXECUTED |
Um modelo de machine learning identificou um código Bash executado como mal-intencionado. Um invasor pode usar o Bash para baixar ferramentas ou arquivos em um ambiente comprometido e executar comandos sem usar binários. O detector usa PLN para analisar o conteúdo do código Bash. Como essa abordagem não é baseada em assinaturas, os detectores podem identificar códigos Bash maliciosos conhecidos e novos. |
| URL malicioso observado (Visualização) | AGENT_ENGINE_MALICIOUS_URL_OBSERVED |
O Agent Engine Threat Detection observou um URL malicioso na lista de argumentos de um processo em execução. O detector compara esses URLs com as listas de recursos da Web não seguros mantidas pelo serviço Navegação segura do Google. Se você acredita que o Google classificou um URL incorretamente como um site de phishing ou malware, informe o problema em Como relatar dados incorretos. |
| Shell reverso (pré-lançamento) | AGENT_ENGINE_REVERSE_SHELL |
Um processo começou com o redirecionamento de stream para um soquete conectado
remotamente. O detector procura um Um shell reverso permite que um invasor se comunique de uma carga de trabalho comprometida para uma máquina controlada por ele. O invasor pode comandar e controlar a carga de trabalho, por exemplo, como parte de uma botnet. |
| Shell filho inesperado (prévia) | AGENT_ENGINE_UNEXPECTED_CHILD_SHELL |
Um processo que normalmente não invoca shells gerou inesperadamente um processo de shell. O detector monitora as execuções de processos e gera uma descoberta quando um processo pai conhecido gera um shell inesperadamente. |
Detectores do plano de controle
Esta seção descreve os detectores do plano de controle do Event Threat Detection que são projetados especificamente para agentes de IA implantados no ambiente de execução do Vertex AI Agent Engine. O Event Threat Detection também tem detectores para ameaças gerais relacionadas à IA.
Esses detectores do plano de controle são ativados por padrão. Você gerencia esses detectores da mesma forma que outros detectores do Event Threat Detection. Para mais informações, consulte Usar o Event Threat Detection.
| Nome de exibição | Nome da API | Tipos de origem do registro | Descrição |
|---|---|---|---|
| Descoberta: autoinvestigação da conta de serviço do Agent Engine (prévia) | AGENT_ENGINE_IAM_ANOMALOUS_BEHAVIOR_SERVICE_ACCOUNT_GETS_OWN_IAM_POLICY |
Registros de auditoria do Cloud: Registros de auditoria de acesso a dados do IAM Permissões: DATA_READ
|
Uma identidade associada a um agente de IA implantado no Vertex AI Agent Engine foi usada para investigar os papéis e permissões associadas a essa mesma conta de serviço. Papéis sensíveis As descobertas são classificadas com gravidade Alta ou Média, dependendo da sensibilidade dos papéis concedidos. Para mais informações, consulte Papéis e permissões sensíveis do IAM. |
| Exfiltração: o Agent Engine iniciou a exfiltração de dados do BigQuery (pré-lançamento) |
AGENT_ENGINE_BIG_QUERY_EXFIL_VPC_PERIMETER_VIOLATIONAGENT_ENGINE_BIG_QUERY_EXFIL_TO_EXTERNAL_TABLE
|
Registros de auditoria do Cloud:
Registros de acesso a dados do BigQueryAuditMetadata
Permissões:DATA_READ
|
Detecta os seguintes cenários de exfiltração de dados do BigQuery iniciada por um agente implantado no Agent Engine da Vertex AI:
|
| Exfiltração: o Agent Engine iniciou a exfiltração do Cloud SQL (prévia) |
AGENT_ENGINE_CLOUDSQL_EXFIL_EXPORT_TO_PUBLIC_GCSAGENT_ENGINE_CLOUDSQL_EXFIL_EXPORT_TO_EXTERNAL_GCS
|
Registros de auditoria do Cloud:
Registros de acesso a dados do MySQL Registros de acesso a dados do PostgreSQL Registros de acesso a dados do SQL Server |
Detecta os seguintes cenários de exfiltração de dados do Cloud SQL iniciada por um agente implantado no Vertex AI Agent Engine:
Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização mãe. As descobertas são classificadas como de gravidade alta por padrão. |
| Exfiltração: o Agent Engine iniciou a extração de dados do BigQuery (pré-lançamento) | AGENT_ENGINE_BIG_QUERY_EXFIL_TO_CLOUD_STORAGE |
Registros de auditoria do Cloud:
Registros de acesso a dados do BigQueryAuditMetadata
Permissões:DATA_READ
|
Detecta os seguintes cenários de uma extração de dados do BigQuery iniciada por um agente implantado no Vertex AI Agent Engine:
Para ativações no nível do projeto do nível Premium do Security Command Center, essa descoberta só estará disponível se o nível Standard estiver ativado na organização mãe. As descobertas são classificadas com gravidade baixa por padrão. |
| Acesso inicial: ações recusadas de permissão excessiva da identidade do Agent Engine (pré-lançamento) | AGENT_ENGINE_EXCESSIVE_FAILED_ATTEMPT |
Registros de auditoria do Cloud: Registros de atividade do administrador | Uma identidade associada a um agente de IA implantado no Vertex AI Agent Engine acionou repetidamente erros de permissão negada ao tentar fazer mudanças em vários métodos e serviços. As descobertas são classificadas com gravidade média por padrão. |
| Escalonamento de privilégios: geração de token suspeito do Agent Engine (pré-lançamento) | AGENT_ENGINE_SUSPICIOUS_TOKEN_GENERATION_IMPLICIT_DELEGATION |
Registros de auditoria do Cloud: Registros de auditoria de acesso a dados do IAM |
A permissão iam.serviceAccounts.implicitDelegation foi
usada de maneira indevida para gerar tokens de acesso de uma conta de serviço mais privilegiada por um mecanismo de agente da Vertex AI. As descobertas são classificadas com gravidade baixa por padrão.
|
| Escalonamento de privilégios: geração de token suspeito do Agent Engine (pré-lançamento) | AGENT_ENGINE_SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_OPENID |
Registros de auditoria do Cloud: Registros de auditoria de acesso a dados do IAM |
A permissão do IAM Essa descoberta não está disponível para ativações no nível do projeto. As descobertas são classificadas com gravidade baixa por padrão. |
| Escalonamento de privilégios: geração de token suspeito do Agent Engine (pré-lançamento) | AGENT_ENGINE_SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_ACCESS_TOKEN |
Registros de auditoria do Cloud: Registros de auditoria de acesso a dados do IAM |
A permissão do IAM Essa descoberta não está disponível para ativações no nível do projeto. As descobertas são classificadas com gravidade baixa por padrão. |
A seguir
- Saiba como usar a detecção de ameaças do Agent Engine.
- Saiba como usar a detecção de ameaças a eventos.
- Consulte Índice de descobertas de ameaças.