本文档介绍了 Agent Engine 威胁检测及其检测器。
Agent Engine 威胁检测是 Security Command Center 的一项内置服务,可帮助您检测和调查部署到 Vertex AI Agent Engine 运行时的 AI 智能体可能遭受的攻击。如果 Agent Engine 威胁检测服务检测到潜在攻击,该服务会在 Security Command Center 中近乎实时地生成发现结果。
Agent Engine 威胁检测会监控受支持的 AI 智能体,并检测最常见的运行时威胁。运行时威胁包括执行恶意二进制文件或脚本、容器逃逸、反向 shell,以及在智能体的环境内使用攻击工具。
此外,Event Threat Detection 中的控制平面检测器会分析各种审核日志(包括 Identity and Access Management、BigQuery 和 Cloud SQL 日志)以及 Vertex AI Agent Engine 日志(stdout 和 stderr),以检测可疑活动。控制平面威胁包括数据渗漏尝试、过多的权限拒绝和可疑的令牌生成。
优势
Agent Engine 威胁检测具有以下优势:
- 主动降低 AI 工作负载的风险。Agent Engine 威胁检测通过监控 AI 智能体的行为和环境,帮助您及早检测和应对威胁
- 在统一位置管理 AI 安全。Agent Engine 威胁检测发现结果会直接显示在 Security Command Center 中。您可以通过一个中央界面查看和管理威胁发现结果以及其他云安全风险。
工作原理
Agent Engine 威胁检测会从托管的 AI 智能体收集遥测数据,以分析可能表明存在运行时攻击的进程、脚本和库。当 Agent Engine 威胁检测检测到潜在威胁时,会执行以下操作:
Agent Engine 威胁检测使用 watcher 进程在智能体工作负载运行时收集事件信息。watcher 进程最多可能需要一分钟才能启动并收集信息。
Agent Engine 威胁检测会分析收集的事件信息,以确定某个事件是否预示着突发事件。Agent Engine 威胁检测使用自然语言处理 (NLP) 来分析 Bash 和 Python 脚本中的恶意代码。
如果 Agent Engine 威胁检测识别突发事件,则会在 Security Command Center 中将该突发事件报告为发现结果。
如果 Agent Engine 威胁检测无法识别突发事件,则不会存储任何信息。
收集的所有数据都会在内存中处理,并且在分析后不会保留,除非确定为突发事件并作为发现结果报告。
如需了解如何在Google Cloud 控制台中查看 Agent Engine 威胁检测发现结果,请参阅查看发现结果。
检测器
本部分列出了可监控部署到 Vertex AI Agent Engine 运行时的 AI 智能体的运行时和控制平面检测器。
运行时检测器
Agent Engine 威胁检测包括以下运行时检测器:
| 显示名称 | 模块名称 | 说明 |
|---|---|---|
| 执行:已执行添加的恶意二进制文件(预览版) | AGENT_ENGINE_ADDED_MALICIOUS_BINARY_EXECUTED |
某个进程执行了威胁情报识别为恶意的二进制文件。此二进制文件不是原始智能体工作负载的一部分。 此事件强烈表明,攻击者已控制工作负载,且正在运行恶意软件。 |
| 执行:已加载添加的恶意库(预览版) | AGENT_ENGINE_ADDED_MALICIOUS_LIBRARY_LOADED |
某个进程加载了威胁情报识别为恶意的库。此库不是原始智能体工作负载的一部分。 此事件表明,攻击者可能已控制工作负载,且正在运行恶意软件。 |
| 执行:执行了内置恶意二进制文件(预览版) | AGENT_ENGINE_BUILT_IN_MALICIOUS_BINARY_EXECUTED |
某个进程执行了威胁情报识别为恶意的二进制文件。此二进制文件是原始智能体工作负载的一部分。 此事件可能表明,攻击者正在部署恶意工作负载。例如,攻击者可能已控制合法的构建流水线,并将恶意二进制文件注入到智能体工作负载中。 |
| 执行:容器逃逸(预览版) | AGENT_ENGINE_CONTAINER_ESCAPE |
容器内运行的进程试图使用已知的漏洞利用技术或二进制文件绕过容器隔离,威胁情报将这些技术或二进制文件识别为潜在威胁。如果成功逃逸,攻击者便可访问主机系统,并可能入侵整个环境。 此操作表明,攻击者正在利用漏洞来获得对主机系统或更广泛基础设施的未经授权的访问权限。 |
| 执行:Kubernetes 攻击工具执行(预览版) | AGENT_ENGINE_KUBERNETES_ATTACK_TOOL_EXECUTION |
某个进程执行了 Kubernetes 特定的攻击工具,威胁情报将其识别为潜在威胁。 此操作表明,攻击者已获得对集群的访问权限,且正在使用该工具来利用 Kubernetes 特定的漏洞或配置。 |
| 执行:本地侦察工具执行(预览版) | AGENT_ENGINE_LOCAL_RECONNAISSANCE_TOOL_EXECUTION |
某个进程执行了通常不是智能体工作负载的一部分的本地侦察工具。威胁情报会将这些工具识别为潜在威胁。 此事件表明,攻击者正在尝试收集内部系统信息,例如映射基础设施、识别漏洞或收集有关系统配置的数据。 |
| 执行:执行了恶意 Python(预览版) | AGENT_ENGINE_MALICIOUS_PYTHON_EXECUTED |
机器学习模型将执行的 Python 代码识别为恶意代码。攻击者可以使用 Python 将工具或文件下载到遭入侵的环境,并在不使用二进制文件的情况下执行命令。 检测器使用自然语言处理 (NLP) 来分析 Python 代码的内容。由于此方法不是基于签名,因此检测器可以识别已知和新型的恶意 Bash 命令。 |
| 执行:已执行修改的恶意二进制文件(预览版) | AGENT_ENGINE_MODIFIED_MALICIOUS_BINARY_EXECUTED |
某个进程执行了威胁情报识别为恶意的二进制文件。此二进制文件是原始智能体工作负载的一部分,但在运行时已修改。 此事件表明,攻击者可能已控制工作负载,且正在运行恶意软件。 |
| 执行:已加载修改的恶意库(预览版) | AGENT_ENGINE_MODIFIED_MALICIOUS_LIBRARY_LOADED |
某个进程加载了威胁情报识别为恶意的库。此库是原始智能体工作负载的一部分,但在运行时已修改。 此事件表明,攻击者已控制工作负载,且正在运行恶意软件。 |
| 已执行恶意脚本(预览版) | AGENT_ENGINE_MALICIOUS_SCRIPT_EXECUTED |
机器学习模型将执行的 Bash 代码识别为恶意代码。 攻击者可以使用 Bash 将工具或文件下载到遭入侵的环境,并在不使用二进制文件的情况下执行命令。 检测器使用 NLP 来分析 Bash 代码的内容。由于此方法并非基于签名,因此检测器可以识别已知和新型的恶意 Bash 代码。 |
| 观察到恶意网址(预览版) | AGENT_ENGINE_MALICIOUS_URL_OBSERVED |
Agent Engine 威胁检测在正在运行的进程的参数列表中观察到一个恶意网址。 检测器会将这些网址与 Google 安全浏览服务维护的不安全 Web 资源列表进行比较。如果您认为 Google 错误地将某个网址归类为钓鱼式攻击网站或恶意网站,请在报告错误数据中报告相应问题。 |
| 反向 Shell(预览版) | AGENT_ENGINE_REVERSE_SHELL |
通过流式传输重定向到远程连接的套接字的过程。检测器会查找绑定到远程套接字的 借助反向 shell,攻击者可以通过已遭入侵的工作负载与攻击者控制的机器进行通信。然后,攻击者可以命令和控制工作负载,例如将其作为僵尸网络的一部分。 |
| 意外的子 Shell(预览版) | AGENT_ENGINE_UNEXPECTED_CHILD_SHELL |
通常不调用 shell 的进程意外生成了 shell 进程。 检测器会监控进程执行情况,并在已知父进程意外生成 shell 时生成发现结果。 |
控制平面检测器
本部分介绍了 Event Threat Detection 中专门为部署到 Vertex AI Agent Engine 运行时的 AI 智能体设计的控制平面检测器。Event Threat Detection 还具有用于检测一般 AI 相关威胁的检测器。
这些控制平面检测器默认处于启用状态。 您可以按照管理其他 Event Threat Detection 检测器的方式管理这些检测器。如需了解详情,请参阅使用 Event Threat Detection。
| 显示名称 | API 名称 | 日志源类型 | 说明 |
|---|---|---|---|
| 发现:Agent Engine 服务账号自行调查(预览版) | AGENT_ENGINE_IAM_ANOMALOUS_BEHAVIOR_SERVICE_ACCOUNT_GETS_OWN_IAM_POLICY |
Cloud Audit Logs: IAM 数据访问审核日志 权限: DATA_READ
|
与部署到 Vertex AI Agent Engine 的 AI 智能体关联的身份用于调查与同一服务账号关联的角色和权限。 敏感角色 发现结果的严重程度分为高或中,具体取决于授予的角色的敏感度。如需了解详情,请参阅敏感 IAM 角色和权限。 |
| 渗漏:Agent Engine 引发了 BigQuery 数据渗漏(预览版) |
AGENT_ENGINE_BIG_QUERY_EXFIL_VPC_PERIMETER_VIOLATIONAGENT_ENGINE_BIG_QUERY_EXFIL_TO_EXTERNAL_TABLE
|
Cloud Audit Logs:BigQueryAuditMetadata 数据访问日志
权限:DATA_READ |
检测由部署到 Vertex AI Agent Engine 的智能体引发的 BigQuery 数据渗漏的以下场景:
|
| 渗漏:Agent Engine 引发了 CloudSQL 渗漏(预览版) |
AGENT_ENGINE_CLOUDSQL_EXFIL_EXPORT_TO_PUBLIC_GCSAGENT_ENGINE_CLOUDSQL_EXFIL_EXPORT_TO_EXTERNAL_GCS
|
Cloud Audit Logs:
MySQL 数据访问日志 PostgreSQL 数据访问日志 SQL Server 数据访问日志 |
检测由部署到 Vertex AI Agent Engine 的智能体引发的 Cloud SQL 数据渗漏的以下场景:
对于 Security Command Center 高级层级的项目级激活,此发现结果仅在父级组织中启用了标准层级时才可用。默认情况下,发现结果会被归类为高严重程度。 |
| 渗漏:Agent Engine 引发了 BigQuery 数据提取(预览版) | AGENT_ENGINE_BIG_QUERY_EXFIL_TO_CLOUD_STORAGE |
Cloud Audit Logs:BigQueryAuditMetadata 数据访问日志
权限:DATA_READ |
检测由部署到 Vertex AI Agent Engine 的智能体引发的 BigQuery 数据提取的以下场景:
对于 Security Command Center 高级层级的项目级激活,此发现结果仅在父级组织中启用了标准层级时才可用。默认情况下,发现结果会被归类为低严重程度。 |
| 初始访问:Agent Engine 身份权限遭拒操作次数过多(预览版) | AGENT_ENGINE_EXCESSIVE_FAILED_ATTEMPT |
Cloud Audit Logs:管理员活动日志 | 与部署到 Vertex AI Agent Engine 的 AI 智能体关联的身份尝试在多个方法和服务中进行更改时反复触发“权限遭拒”错误。默认情况下,发现结果会被归类为中严重程度。 |
| 提权:Agent Engine 可疑的令牌生成活动(预览版) | AGENT_ENGINE_SUSPICIOUS_TOKEN_GENERATION_IMPLICIT_DELEGATION |
Cloud Audit Logs: IAM 数据访问审核日志 |
iam.serviceAccounts.implicitDelegation 权限被滥用,用于通过 Vertex AI Agent Engine 从权限更高的服务账号生成访问令牌。默认情况下,发现结果会被归类为低严重程度。
|
| 提权:Agent Engine 可疑的令牌生成活动(预览版) | AGENT_ENGINE_SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_OPENID |
Cloud Audit Logs: IAM 数据访问审核日志 |
此发现结果不适用于项目级激活。 默认情况下,发现结果会被归类为低严重程度。 |
| 提权:Agent Engine 可疑的令牌生成活动(预览版) | AGENT_ENGINE_SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_ACCESS_TOKEN |
Cloud Audit Logs: IAM 数据访问审核日志 |
此发现结果不适用于项目级激活。 默认情况下,发现结果会被归类为低严重程度。 |
后续步骤
- 了解如何使用 Agent Engine 威胁检测。
- 了解如何使用 Event Threat Detection。
- 查看威胁发现结果索引。