Dieses Dokument bietet eine Übersicht über die Agent Engine-Bedrohungserkennung und ihre Detektoren.
Agent Engine Threat Detection ist ein integrierter Dienst von Security Command Center, mit dem Sie potenzielle Angriffe auf KI-Agents erkennen und untersuchen können, die in der Vertex AI Agent Engine-Laufzeit bereitgestellt werden. Wenn der Dienst „Agent Engine Threat Detection“ einen potenziellen Angriff erkennt, wird nahezu in Echtzeit ein Ergebnis im Security Command Center generiert.
Die Agent Engine-Bedrohungserkennung überwacht die unterstützten KI-Agents und erkennt die gängigsten Laufzeitbedrohungen. Zu den Laufzeitbedrohungen gehören die Ausführung schädlicher Binärdateien oder Skripts, Container-Escapes, Reverse Shells und die Verwendung von Angriffstools in der Umgebung des Agents.
Außerdem analysieren Control-Plane-Detectors aus Event Threat Detection verschiedene Audit-Logs (einschließlich Identity and Access Management-, BigQuery- und Cloud SQL-Logs) sowie Vertex AI Agent Engine-Logs (stdout und stderr), um verdächtige Aktivitäten zu erkennen. Zu den Bedrohungen der Steuerungsebene gehören Versuche, Daten zu exfiltrieren, übermäßige Berechtigungsverweigerungen und die Generierung verdächtiger Tokens.
Vorteile
Die Agent Engine-Bedrohungserkennung bietet die folgenden Vorteile:
- Risiken für KI-Arbeitslasten proaktiv reduzieren: Mit der Agent Engine-Bedrohungserkennung können Sie Bedrohungen frühzeitig erkennen und darauf reagieren, indem Sie das Verhalten und die Umgebung Ihrer KI-Agents überwachen.
- KI-Sicherheit an einem zentralen Ort verwalten: Die Ergebnisse der Agent Engine Threat Detection werden direkt in Security Command Center angezeigt. Sie haben eine zentrale Benutzeroberfläche, über die Sie Bedrohungsergebnisse zusammen mit anderen Cloud-Sicherheitsrisiken ansehen und verwalten können.
Funktionsweise
Agent Engine Threat Detection erfasst Telemetriedaten von den gehosteten KI-Agents, um Prozesse, Scripts und Bibliotheken zu analysieren, die auf einen Laufzeitangriff hindeuten könnten. Wenn die Agent Engine-Bedrohungserkennung eine potenzielle Bedrohung erkennt, geschieht Folgendes:
Agent Engine Threat Detection verwendet einen Watcher-Prozess, um Ereignisinformationen zu erfassen, während die agentische Arbeitslast ausgeführt wird. Es kann bis zu einer Minute dauern, bis der Watcher-Prozess gestartet wird und Informationen erfasst.
Agent Engine Threat Detection analysiert die erfassten Ereignisinformationen, um festzustellen, ob ein Ereignis auf einen Vorfall hindeutet. Agent Engine Threat Detection verwendet Natural Language Processing (NLP), um Bash- und Python-Skripts auf schädlichen Code zu analysieren.
Wenn Agent Engine Threat Detection einen Vorfall erkennt, wird er als Ergebnis in Security Command Center gemeldet.
Wenn Agent Engine Threat Detection keinen Vorfall identifiziert, werden keine Informationen gespeichert.
Alle erhobenen Daten werden im Arbeitsspeicher verarbeitet und bleiben nach der Analyse nicht erhalten, es sei denn, sie werden als Vorfall identifiziert und als Ergebnis gemeldet.
Informationen zum Prüfen von Agent Engine Threat Detection-Ergebnissen in derGoogle Cloud -Konsole finden Sie unter Ergebnisse prüfen.
Detektoren
In diesem Abschnitt werden die Laufzeit- und Steuerungsebene-Detektoren aufgeführt, die KI-Agents überwachen, die in der Vertex AI Agent Engine-Laufzeit bereitgestellt werden.
Laufzeitdetektoren
Die Agent Engine-Bedrohungserkennung umfasst die folgenden Laufzeitdetektoren:
| Anzeigename | Modulname | Beschreibung |
|---|---|---|
| Ausführung: Hinzugefügtes schädliches Binärprogramm ausgeführt (Vorabversion) | AGENT_ENGINE_ADDED_MALICIOUS_BINARY_EXECUTED |
Ein Prozess hat eine Binärdatei ausgeführt, die von Threat Intelligence als schädlich identifiziert wurde. Diese Binärdatei war nicht Teil der ursprünglichen agentenbasierten Arbeitslast. Dieses Ereignis deutet stark darauf hin, dass ein Angreifer die Kontrolle über die Arbeitslast hat und schädliche Software ausführt. |
| Ausführung: „Added Malicious Library Loaded“ (Vorschau) | AGENT_ENGINE_ADDED_MALICIOUS_LIBRARY_LOADED |
Ein Prozess hat eine Bibliothek geladen, die von Threat Intelligence als schädlich eingestuft wird. Diese Bibliothek war nicht Teil der ursprünglichen agentenbasierten Arbeitslast. Dieses Ereignis deutet darauf hin, dass ein Angreifer wahrscheinlich die Kontrolle über die Arbeitslast hat und schädliche Software ausführt. |
| Ausführung: Integriertes schädliches Binärprogramm ausgeführt (Vorschau) | AGENT_ENGINE_BUILT_IN_MALICIOUS_BINARY_EXECUTED |
Ein Prozess hat eine Binärdatei ausgeführt, die von Threat Intelligence als schädlich identifiziert wurde. Diese Binärdatei war Teil der ursprünglichen Agent-Arbeitslast. Dieses Ereignis deutet möglicherweise darauf hin, dass ein Angreifer eine schädliche Arbeitslast bereitstellt. Der Akteur hat beispielsweise die Kontrolle über eine legitime Build-Pipeline erlangt und die schädliche Binärdatei in die Agent-Arbeitslast eingefügt. |
| Ausführung: Container-Escape (Vorschau) | AGENT_ENGINE_CONTAINER_ESCAPE |
Ein Prozess, der im Container ausgeführt wird, hat versucht, die Containerisolierung mithilfe bekannter Exploits oder Binärdateien zu umgehen, die von der Threat Intelligence als potenzielle Bedrohungen identifiziert wurden. Ein erfolgreicher Escape kann einem Angreifer Zugriff auf das Hostsystem ermöglichen und möglicherweise die gesamte Umgebung gefährden. Diese Aktion deutet darauf hin, dass ein Angreifer Sicherheitslücken ausnutzt, um unbefugten Zugriff auf das Hostsystem oder die gesamte Infrastruktur zu erlangen. |
| Execution: Kubernetes Attack Tool Execution (Vorschau) | AGENT_ENGINE_KUBERNETES_ATTACK_TOOL_EXECUTION |
Ein Prozess hat ein Kubernetes-spezifisches Angriffstool ausgeführt, das von der Threat Intelligence als potenzielle Bedrohung identifiziert wurde. Diese Aktion deutet darauf hin, dass ein Angreifer Zugriff auf den Cluster erhalten hat und das Tool verwendet, um Kubernetes-spezifische Sicherheitslücken oder Konfigurationen auszunutzen. |
| Ausführung: Ausführung eines lokalen Ausspähtools (Vorschau) | AGENT_ENGINE_LOCAL_RECONNAISSANCE_TOOL_EXECUTION |
Ein Prozess hat ein lokales Ausspähtool ausgeführt, das normalerweise nicht Teil der Agent-Arbeitslast ist. Threat Intelligence identifiziert diese Tools als potenzielle Bedrohungen. Dieses Ereignis deutet darauf hin, dass ein Angreifer versucht, interne Systeminformationen zu sammeln, z. B. um die Infrastruktur abzubilden, Sicherheitslücken zu identifizieren oder Daten zu Systemkonfigurationen zu erfassen. |
| Ausführung: Schädlicher Python-Code ausgeführt (Vorschau) | AGENT_ENGINE_MALICIOUS_PYTHON_EXECUTED |
Ein ML-Modell (maschinelles Lernen) hat ausgeführten Python-Code als schädlich identifiziert. Ein Angreifer kann Python verwenden, um Tools oder Dateien in eine manipulierte Umgebung herunterzuladen und Befehle ohne Binärdateien auszuführen. Der Detektor verwendet Natural Language Processing (NLP), um den Inhalt des Python-Codes zu analysieren. Da dieser Ansatz nicht auf Signaturen basiert, können Detektoren bekannten und neuen schädlichen Python-Code identifizieren. |
| Ausführung: Geändertes schädliches Binärprogramm ausgeführt (Vorschau) | AGENT_ENGINE_MODIFIED_MALICIOUS_BINARY_EXECUTED |
Ein Prozess hat eine Binärdatei ausgeführt, die von Threat Intelligence als schädlich identifiziert wurde. Diese Binärdatei war Teil der ursprünglichen agentenbasierten Arbeitslast, wurde aber zur Laufzeit geändert. Dieses Ereignis deutet darauf hin, dass ein Angreifer möglicherweise die Kontrolle über die Arbeitslast hat und schädliche Software ausführt. |
| Ausführung: Geänderte schädliche Bibliothek geladen (Vorschau) | AGENT_ENGINE_MODIFIED_MALICIOUS_LIBRARY_LOADED |
Ein Prozess hat eine Bibliothek geladen, die von Threat Intelligence als schädlich eingestuft wird. Diese Bibliothek war Teil der ursprünglichen Agent-Arbeitslast, wurde aber zur Laufzeit geändert. Dieses Ereignis deutet darauf hin, dass ein Angreifer die Kontrolle über die Arbeitslast hat und schädliche Software ausführt. |
| Schädliches Script ausgeführt (Vorschau) | AGENT_ENGINE_MALICIOUS_SCRIPT_EXECUTED |
Ein ML-Modell (maschinelles Lernen) hat ausgeführten Bash-Code als schädlich identifiziert. Ein Angreifer kann Bash verwenden, um Tools oder Dateien in eine manipulierte Umgebung herunterzuladen und Befehle ohne Binärdateien auszuführen. Der Detektor verwendet NLP, um den Inhalt des Bash-Codes zu analysieren. Da dieser Ansatz nicht auf Signaturen basiert, können Detektoren bekannten und neuen schädlichen Bash-Code identifizieren. |
| Schädliche URL beobachtet (Vorschau) | AGENT_ENGINE_MALICIOUS_URL_OBSERVED |
Die Agent Engine-Bedrohungserkennung hat in der Argumentliste eines laufenden Prozesses eine schädliche URL erkannt. Der Detector vergleicht diese URLs mit den Listen unsicherer Webressourcen, die vom Google Safe Browsing-Dienst verwaltet werden. Wenn Sie der Meinung sind, dass Google eine URL fälschlicherweise als Phishing-Website oder Malware eingestuft hat, melden Sie das Problem unter Unvollständige Daten melden. |
| Reverse Shell (Vorschau) | AGENT_ENGINE_REVERSE_SHELL |
Ein Prozess, bei dem die Stream-Weiterleitung an einen Remote-Socket gestartet wurde. Der Detektor sucht nach Mit einer Reverse-Shell kann ein Angreifer von einer manipulierten Arbeitslast aus mit einer vom Angreifer kontrollierten Maschine kommunizieren. Der Angreifer kann dann die Arbeitslast ausführen und steuern, z. B. als Teil eines Botnets. |
| Unerwartete untergeordnete Shell (Vorabversion) | AGENT_ENGINE_UNEXPECTED_CHILD_SHELL |
Ein Prozess, der normalerweise keine Shells aufruft, hat unerwartet einen Shellprozess gestartet. Der Detektor überwacht die Ausführung von Prozessen und generiert ein Ergebnis, wenn ein bekannter übergeordneter Prozess unerwartet eine Shell erzeugt. |
Detektoren der Steuerungsebene
In diesem Abschnitt werden die Detectors der Steuerungsebene von Event Threat Detection beschrieben, die speziell für KI-Agents entwickelt wurden, die in der Vertex AI Agent Engine-Laufzeitumgebung bereitgestellt werden. Event Threat Detection bietet auch Detektoren für allgemeine KI-bezogene Bedrohungen.
Diese Detectors für die Steuerungsebene sind standardmäßig aktiviert. Sie verwalten diese Detektoren auf dieselbe Weise wie andere Event Threat Detection-Detektoren. Weitere Informationen finden Sie unter Event Threat Detection verwenden.
| Anzeigename | API-Name | Logquelltypen | Beschreibung |
|---|---|---|---|
| Discovery: Hinweise auf Scannen von Ports durch KI-Agenten (Vorschau) | AGENT_ENGINE_PORT_SCANNING_EVIDENCE |
Agent Engine-Logs: Agent Engine-Logs |
Ein KI-Agent hat ein horizontales oder vertikales Port-Scanning-Verhalten gezeigt. Ergebnisse werden standardmäßig als Niedrig eingestuft. |
| Discovery: KI-Agent: nicht autorisierter API-Aufruf des Dienstkontos (Vorschau) | AGENT_ENGINE_UNAUTHORIZED_SERVICE_ACCOUNT_API_CALL |
Cloud-Audit-Logs: Admin Activity-Audit-Logs |
Ein Dienstkonto hat über einen KI-Agent einen nicht autorisierten API-Aufruf an ein externes Projekt gesendet. Dieses Verhalten kann darauf hindeuten, dass ein nicht autorisierter Nutzer versucht, über einen KI-Agenten Details zu Ressourcen abzurufen, Dienste zu aktivieren oder zu deaktivieren oder andere nicht autorisierte Aktionen auszuführen. Ergebnisse werden standardmäßig als Niedrig eingestuft. |
| Erkennung: Selbstprüfung des Dienstkontos für KI-Agenten (Vorschau) | AGENT_ENGINE_IAM_ANOMALOUS_BEHAVIOR_SERVICE_ACCOUNT_GETS_OWN_IAM_POLICY |
Cloud-Audit-Logs: IAM-Datenzugriffs-Audit-Logs Berechtigungen: DATA_READ
|
Eine Identität, die mit einem KI-Agenten verknüpft ist, wurde verwendet, um die Rollen und Berechtigungen zu untersuchen, die mit diesem Dienstkonto verknüpft sind. Ergebnisse werden als Niedrig eingestuft, wenn die Anfrage autorisiert wurde, und als Hoch, wenn die Anfrage nicht autorisiert wurde. |
| Zugriff auf Anmeldedaten: anomaler Zugriff von KI-Agent auf Metadatendienst (Vorschau) | AGENT_ENGINE_ANOMALOUS_ACCESS_TO_METADATA_SERVICE |
Agent Engine-Logs: Agent Engine-Logs |
Ein KI-Agent hat ein Dienstkonto-Token von einem Metadatenserver abgerufen. Ergebnisse werden standardmäßig als Niedrig eingestuft. |
| Exfiltration: KI-Agent: BigQuery-VPC-Perimeterverstoß initiiert (Vorschau) |
AGENT_ENGINE_BIG_QUERY_EXFIL_VPC_PERIMETER_VIOLATION |
Cloud-Audit-Logs:
BigQueryAuditMetadata-Datenzugriffslogs
Berechtigungen:DATA_READ
|
Erkennt einen Versuch eines KI-Agents, auf BigQuery-Ressourcen zuzugreifen, die durch VPC Service Controls geschützt sind. Ergebnisse werden standardmäßig als Niedrig eingestuft. |
| Exfiltration: KI-Agent: BigQuery-Daten-Exfiltration in externe Tabelle initiiert (Vorschau) |
AGENT_ENGINE_BIG_QUERY_EXFIL_TO_EXTERNAL_TABLE |
Cloud-Audit-Logs:
BigQueryAuditMetadata-Datenzugriffslogs
Berechtigungen:DATA_READ
|
Erkennt, wenn Ressourcen, die der geschützten Organisation gehören, von einem KI-Agenten außerhalb der Organisation gespeichert wurden, einschließlich Kopier- oder Übertragungsvorgängen. Ergebnisse werden standardmäßig als Hoch eingestuft. |
| Exfiltration: KI-Agent: Cloud SQL-Exfiltration in öffentlichen Bucket initiiert (Vorschau) |
AGENT_ENGINE_CLOUDSQL_EXFIL_EXPORT_TO_PUBLIC_GCS |
Cloud-Audit-Logs:
MySQL-Datenzugriffslogs PostgreSQL-Datenzugriffslogs SQL Server-Datenzugriffslogs |
Erkennt, wenn Live-Instanzdaten von einem KI-Agent in einen Cloud Storage-Bucket exportiert wurden, der der Organisation gehört und öffentlich zugänglich ist. Bei Aktivierungen der Security Command Center Premium-Stufe auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standard-Legacy-Stufe in der übergeordneten Organisation aktiviert ist. Ergebnisse werden standardmäßig als Hoch eingestuft. |
| Exfiltration: KI-Agent: Cloud SQL-Exfiltration in externen Bucket initiiert (Vorschau) |
AGENT_ENGINE_CLOUDSQL_EXFIL_EXPORT_TO_EXTERNAL_GCS
|
Cloud-Audit-Logs:
MySQL-Datenzugriffslogs PostgreSQL-Datenzugriffslogs SQL Server-Datenzugriffslogs |
Erkennt, wenn Live-Instanzdaten von einem KI-Agent in einen Cloud Storage-Bucket außerhalb der Organisation exportiert wurden. Bei Aktivierungen der Security Command Center Premium-Stufe auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standard-Legacy-Stufe in der übergeordneten Organisation aktiviert ist. Ergebnisse werden standardmäßig als Hoch eingestuft. |
| Exfiltration: KI-Agent: BigQuery-Datenextraktion initiiert (Vorschau) | AGENT_ENGINE_BIG_QUERY_EXFIL_TO_CLOUD_STORAGE |
Cloud-Audit-Logs:
BigQueryAuditMetadata-Datenzugriffslogs
Berechtigungen:DATA_READ
|
Erkennt die folgenden Szenarien einer von einem KI-Agenten initiierten BigQuery-Datenextraktion:
Bei Aktivierungen der Security Command Center Premium-Stufe auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standard-Legacy-Stufe in der übergeordneten Organisation aktiviert ist. Ergebnisse werden standardmäßig als Niedrig eingestuft. |
| Anfänglicher Zugriff: Häufung von „Berechtigung verweigert“-Aktionen für die Identität des KI-Agenten (Vorschau) | AGENT_ENGINE_EXCESSIVE_FAILED_ATTEMPT |
Cloud-Audit-Logs: Administratoraktivitätslogs | Eine Identität, die mit einem KI-Agenten verknüpft ist, hat wiederholt permission denied-Fehler ausgelöst, indem sie versucht hat, Änderungen über mehrere Methoden und Dienste hinweg vorzunehmen. Ergebnisse werden standardmäßig als Mittel eingestuft. |
| Rechteausweitung: verdächtige Tokengenerierung durch KI-Agenten mit signJwt (Vorschau) | AGENT_ENGINE_SUSPICIOUS_TOKEN_GENERATION_SIGN_JWT |
Cloud-Audit-Logs: IAM Data Access-Audit-Logs |
Ein Dienstkonto, das einem KI-Agent zugeordnet ist, hat mit der Methode
Ergebnisse werden standardmäßig als Niedrig eingestuft. |
| Rechteausweitung: verdächtige Tokengenerierung durch KI-Agent mit impliziter Delegierung (Vorschau) | AGENT_ENGINE_SUSPICIOUS_TOKEN_GENERATION_IMPLICIT_DELEGATION |
Cloud-Audit-Logs: IAM Data Access-Audit-Logs |
Die Berechtigung iam.serviceAccounts.implicitDelegation wurde missbraucht, um über einen KI-Agenten Zugriffstokens von einem Dienstkonto mit mehr Berechtigungen zu generieren.
Ergebnisse werden standardmäßig als Niedrig eingestuft.
|
| Rechteausweitung: Verdächtige projektübergreifende OpenID-Tokengenerierung durch KI-Agenten (Vorschau) | AGENT_ENGINE_SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_OPENID |
Cloud-Audit-Logs: IAM Data Access-Audit-Logs |
Die IAM-Berechtigung Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. Ergebnisse werden standardmäßig als Niedrig eingestuft. |
| Rechteausweitung: verdächtige projektübergreifende Zugriffstokengenerierung durch KI-Agenten (Vorschau) | AGENT_ENGINE_SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_ACCESS_TOKEN |
Cloud-Audit-Logs: IAM Data Access-Audit-Logs |
Die IAM-Berechtigung Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. Ergebnisse werden standardmäßig als Niedrig eingestuft. |
Nächste Schritte
- Informationen zur Verwendung von Agent Engine Threat Detection
- Agent Engine-Bedrohungserkennung testen
- Event Threat Detection verwenden
- Informationen zum Reagieren auf KI-Bedrohungsbefunde
- Weitere Informationen finden Sie im Index der Bedrohungsergebnisse.