Agent Engine Threat Detection – Übersicht

In diesem Dokument werden die Agent Engine-Bedrohungserkennung und die zugehörigen Detektoren beschrieben.

Agent Engine Threat Detection ist ein integrierter Dienst von Security Command Center, mit dem Sie potenzielle Angriffe auf KI-Agents erkennen und untersuchen können, die in der Vertex AI Agent Engine-Laufzeitumgebung bereitgestellt werden. Wenn der Dienst „Agent Engine Threat Detection“ einen potenziellen Angriff erkennt, wird nahezu in Echtzeit ein Ergebnis in Security Command Center generiert.

Die Agent Engine-Bedrohungserkennung überwacht die unterstützten KI-Agents und erkennt die gängigsten Laufzeitbedrohungen. Laufzeitbedrohungen umfassen die Ausführung schädlicher Binärdateien oder Skripts, Container-Escapes, Reverse Shells und die Verwendung von Angriffstools in der Umgebung des Agents.

Außerdem analysieren Control-Plane-Detectors aus Event Threat Detection verschiedene Audit-Logs (einschließlich Identity and Access Management-, BigQuery- und Cloud SQL-Logs) und Vertex AI Agent Engine-Logs (stdout und stderr), um verdächtige Aktivitäten zu erkennen. Zu den Bedrohungen der Steuerungsebene gehören Versuche, Daten zu exfiltrieren, übermäßige Berechtigungsverweigerungen und die Generierung verdächtiger Tokens.

Vorteile

Die Agent Engine-Bedrohungserkennung bietet die folgenden Vorteile:

  • Risiko für KI-Arbeitslasten proaktiv reduzieren: Mit der Agent Engine-Bedrohungserkennung können Sie Bedrohungen frühzeitig erkennen und darauf reagieren, indem Sie das Verhalten und die Umgebung Ihrer KI-Agents überwachen.
  • KI-Sicherheit an einem zentralen Ort verwalten: Die Ergebnisse der Agent Engine Threat Detection werden direkt in Security Command Center angezeigt. Sie haben eine zentrale Benutzeroberfläche, über die Sie Bedrohungsergebnisse zusammen mit anderen Cloud-Sicherheitsrisiken ansehen und verwalten können.

Funktionsweise

Agent Engine Threat Detection erfasst Telemetriedaten von den gehosteten KI-Agents, um Prozesse, Scripts und Bibliotheken zu analysieren, die auf einen Laufzeitangriff hindeuten könnten. Wenn die Agent Engine-Bedrohungserkennung eine potenzielle Bedrohung erkennt, geschieht Folgendes:

  1. Agent Engine Threat Detection verwendet einen Watcher-Prozess, um Ereignisinformationen zu erfassen, während die Agent-Arbeitslast ausgeführt wird. Es kann bis zu einer Minute dauern, bis der Watcher-Prozess gestartet wird und Informationen erfasst.

  2. Agent Engine Threat Detection analysiert die erfassten Ereignisinformationen, um festzustellen, ob ein Ereignis auf einen Vorfall hindeutet. Agent Engine Threat Detection verwendet Natural Language Processing (NLP), um Bash- und Python-Skripts auf schädlichen Code zu analysieren.

    • Wenn Agent Engine Threat Detection einen Vorfall erkennt, wird er als Ergebnis in Security Command Center gemeldet.

    • Wenn Agent Engine Threat Detection keinen Vorfall identifiziert, werden keine Informationen gespeichert.

    • Alle erhobenen Daten werden im Arbeitsspeicher verarbeitet und bleiben nach der Analyse nicht erhalten, es sei denn, sie werden als Vorfall identifiziert und als Ergebnis gemeldet.

Informationen zum Prüfen von Agent Engine Threat Detection-Ergebnissen in derGoogle Cloud -Konsole finden Sie unter Ergebnisse prüfen.

Detektoren

In diesem Abschnitt werden die Laufzeit- und Steuerungsebene-Detektoren aufgeführt, die KI-Agents überwachen, die in der Vertex AI Agent Engine-Laufzeit bereitgestellt werden.

Laufzeitdetektoren

Die Agent Engine-Bedrohungserkennung umfasst die folgenden Laufzeitdetektoren:

Anzeigename Modulname Beschreibung
Ausführung: Hinzugefügtes schädliches Binärprogramm ausgeführt (Vorabversion) AGENT_ENGINE_ADDED_MALICIOUS_BINARY_EXECUTED

Ein Prozess hat eine Binärdatei ausgeführt, die von Threat Intelligence als schädlich identifiziert wurde. Diese Binärdatei war nicht Teil der ursprünglichen agentenbasierten Arbeitslast.

Dieses Ereignis deutet stark darauf hin, dass ein Angreifer die Kontrolle über die Arbeitslast hat und schädliche Software ausführt.

Ausführung: „Added Malicious Library Loaded“ (Vorschau) AGENT_ENGINE_ADDED_MALICIOUS_LIBRARY_LOADED

Ein Prozess hat eine Bibliothek geladen, die laut Threat Intelligence als schädlich eingestuft wird. Diese Bibliothek war nicht Teil der ursprünglichen agentenbasierten Arbeitslast.

Dieses Ereignis deutet darauf hin, dass ein Angreifer wahrscheinlich die Kontrolle über die Arbeitslast hat und schädliche Software ausführt.

Ausführung: Integriertes schädliches Binärprogramm ausgeführt (Vorabversion) AGENT_ENGINE_BUILT_IN_MALICIOUS_BINARY_EXECUTED

Ein Prozess hat eine Binärdatei ausgeführt, die von Threat Intelligence als schädlich identifiziert wurde. Diese Binärdatei war Teil der ursprünglichen Agent-Arbeitslast.

Dieses Ereignis deutet möglicherweise darauf hin, dass ein Angreifer eine schädliche Arbeitslast bereitstellt. Der Akteur hat beispielsweise die Kontrolle über eine legitime Build-Pipeline erlangt und die schädliche Binärdatei in die Agent-Arbeitslast eingefügt.

Ausführung: Container-Escape (Vorschau) AGENT_ENGINE_CONTAINER_ESCAPE

Ein Prozess, der im Container ausgeführt wird, hat versucht, die Containerisolation mithilfe bekannter Exploittechniken oder Binärdateien zu umgehen, die von der Threat Intelligence als potenzielle Bedrohungen identifiziert wurden. Ein erfolgreicher Escape kann einem Angreifer Zugriff auf das Hostsystem ermöglichen und möglicherweise die gesamte Umgebung gefährden.

Diese Aktion deutet darauf hin, dass ein Angreifer Sicherheitslücken ausnutzt, um unbefugten Zugriff auf das Hostsystem oder die gesamte Infrastruktur zu erlangen.

Execution: Kubernetes Attack Tool Execution (Vorschau) AGENT_ENGINE_KUBERNETES_ATTACK_TOOL_EXECUTION

Ein Prozess hat ein Kubernetes-spezifisches Angriffstool ausgeführt, das von der Threat Intelligence als potenzielle Bedrohung identifiziert wurde.

Diese Aktion deutet darauf hin, dass ein Angreifer Zugriff auf den Cluster erhalten hat und das Tool verwendet, um Kubernetes-spezifische Sicherheitslücken oder Konfigurationen auszunutzen.

Ausführung: Ausführung eines lokalen Ausspähtools (Vorschau) AGENT_ENGINE_LOCAL_RECONNAISSANCE_TOOL_EXECUTION

Ein Prozess hat ein lokales Ausspähtool ausgeführt, das normalerweise nicht Teil der Agent-Arbeitslast ist. Threat Intelligence identifiziert diese Tools als potenzielle Bedrohungen.

Dieses Ereignis deutet darauf hin, dass ein Angreifer versucht, interne Systeminformationen zu sammeln, z. B. um die Infrastruktur abzubilden, Sicherheitslücken zu identifizieren oder Daten zu Systemkonfigurationen zu erfassen.

Ausführung: Schädlicher Python-Code ausgeführt (Vorschau) AGENT_ENGINE_MALICIOUS_PYTHON_EXECUTED

Ein ML-Modell (maschinelles Lernen) hat ausgeführten Python-Code als schädlich identifiziert. Ein Angreifer kann Python verwenden, um Tools oder Dateien in eine manipulierte Umgebung herunterzuladen und Befehle ohne Binärdateien auszuführen.

Der Detektor verwendet Natural Language Processing (NLP), um den Inhalt des Python-Codes zu analysieren. Da dieser Ansatz nicht auf Signaturen basiert, können Detektoren bekannten und neuen schädlichen Python-Code identifizieren.

Ausführung: Geändertes schädliches Binärprogramm ausgeführt (Vorschau) AGENT_ENGINE_MODIFIED_MALICIOUS_BINARY_EXECUTED

Ein Prozess hat eine Binärdatei ausgeführt, die von Threat Intelligence als schädlich identifiziert wurde. Diese Binärdatei war Teil der ursprünglichen agentenbasierten Arbeitslast, wurde aber zur Laufzeit geändert.

Dieses Ereignis deutet darauf hin, dass ein Angreifer möglicherweise die Kontrolle über die Arbeitslast hat und schädliche Software ausführt.

Ausführung: Geänderte schädliche Bibliothek geladen (Vorschau) AGENT_ENGINE_MODIFIED_MALICIOUS_LIBRARY_LOADED

Ein Prozess hat eine Bibliothek geladen, die laut Threat Intelligence als schädlich eingestuft wird. Diese Bibliothek war Teil der ursprünglichen agentenbasierten Arbeitslast, wurde aber zur Laufzeit geändert.

Dieses Ereignis deutet darauf hin, dass ein Angreifer die Kontrolle über die Arbeitslast hat und schädliche Software ausführt.

Schädliches Script ausgeführt (Vorschau) AGENT_ENGINE_MALICIOUS_SCRIPT_EXECUTED

Ein ML-Modell (maschinelles Lernen) hat ausgeführten Bash-Code als schädlich identifiziert. Ein Angreifer kann Bash verwenden, um Tools oder Dateien in eine manipulierte Umgebung herunterzuladen und Befehle ohne Binärdateien auszuführen.

Der Detektor verwendet NLP, um den Inhalt des Bash-Codes zu analysieren. Da dieser Ansatz nicht auf Signaturen basiert, können Detektoren bekannten und neuen schädlichen Bash-Code identifizieren.
Schädliche URL beobachtet (Vorschau) AGENT_ENGINE_MALICIOUS_URL_OBSERVED

Die Agent Engine-Bedrohungserkennung hat in der Argumentliste eines laufenden Prozesses eine schädliche URL erkannt.

Der Detector vergleicht diese URLs mit den Listen unsicherer Webressourcen, die vom Google Safe Browsing-Dienst verwaltet werden. Wenn Sie der Meinung sind, dass Google eine URL fälschlicherweise als Phishing-Website oder Malware eingestuft hat, melden Sie das Problem unter Unvollständige Daten melden.
Reverse Shell (Vorschau) AGENT_ENGINE_REVERSE_SHELL

Ein Prozess, bei dem die Stream-Weiterleitung an einen Remote-Socket gestartet wurde. Der Detektor sucht nach stdin, gebunden an einen Remote-Socket.

Mit einer Reverse-Shell kann ein Angreifer von einer manipulierten Arbeitslast aus mit einer vom Angreifer kontrollierten Maschine kommunizieren. Der Angreifer kann dann die Arbeitslast ausführen und steuern, z. B. als Teil eines Botnets.

Unerwartete untergeordnete Shell (Vorabversion) AGENT_ENGINE_UNEXPECTED_CHILD_SHELL

Ein Prozess, der normalerweise keine Shells aufruft, hat unerwartet einen Shellprozess gestartet.

Der Detektor überwacht die Ausführung von Prozessen und generiert ein Ergebnis, wenn ein bekannter übergeordneter Prozess unerwartet eine Shell erzeugt.

Detektoren der Steuerungsebene

In diesem Abschnitt werden die Detectors der Steuerungsebene von Event Threat Detection beschrieben, die speziell für KI-Agents entwickelt wurden, die in der Vertex AI Agent Engine-Laufzeitumgebung bereitgestellt werden. Event Threat Detection bietet auch Detektoren für allgemeine KI-bezogene Bedrohungen.

Diese Detectors für die Steuerungsebene sind standardmäßig aktiviert. Sie verwalten diese Detektoren auf dieselbe Weise wie andere Event Threat Detection-Detektoren. Weitere Informationen finden Sie unter Event Threat Detection verwenden.

Anzeigename API-Name Logquelltypen Beschreibung
Erkennung: Selbstprüfung des Agent Engine-Dienstkontos (Vorschau) AGENT_ENGINE_IAM_ANOMALOUS_BEHAVIOR_SERVICE_ACCOUNT_GETS_OWN_IAM_POLICY Cloud-Audit-Logs:
IAM-Datenzugriffs-Audit-Logs
Berechtigungen:
DATA_READ

Eine Identität, die einem in Vertex AI Agent Engine bereitgestellten KI-Agenten zugeordnet ist, wurde verwendet, um die Rollen und Berechtigungen zu untersuchen, die mit diesem Dienstkonto verknüpft sind.

Vertrauliche Rollen

Die Ergebnisse werden je nach Vertraulichkeit der zugewiesenen Rollen als Hoch oder Mittel eingestuft. Weitere Informationen finden Sie unter Vertrauliche IAM-Rollen und -Berechtigungen.

Exfiltration: Agent Engine: BigQuery-Daten-Exfiltration initiiert (Vorschau) AGENT_ENGINE_BIG_QUERY_EXFIL_VPC_PERIMETER_VIOLATION
AGENT_ENGINE_BIG_QUERY_EXFIL_TO_EXTERNAL_TABLE 		Cloud-Audit-Logs: BigQueryAuditMetadata-Datenzugriffslogs Berechtigungen:
DATA_READ

Erkennt die folgenden Szenarien einer BigQuery-Daten-Exfiltration, die von einem in Vertex AI Agent Engine bereitgestellten Agent initiiert wurde:

  • Ressourcen, die der geschützten Organisation gehören, wurden außerhalb der Organisation gespeichert, einschließlich Kopier- oder Übertragungsvorgängen.

    Dieses Szenario entspricht dem Ergebnistyp AGENT_ENGINE_BIG_QUERY_EXFIL_TO_EXTERNAL_TABLE und hat den Schweregrad Hoch.

  • Es wurde versucht, auf BigQuery-Ressourcen zuzugreifen, die durch VPC Service Controls geschützt sind.

    Dieses Szenario entspricht dem Ergebnistyp AGENT_ENGINE_BIG_QUERY_EXFIL_VPC_PERIMETER_VIOLATION und hat den Schweregrad Niedrig.

Exfiltration: Agent Engine: Cloud SQL-Exfiltration initiiert (Vorschau) AGENT_ENGINE_CLOUDSQL_EXFIL_EXPORT_TO_PUBLIC_GCS
AGENT_ENGINE_CLOUDSQL_EXFIL_EXPORT_TO_EXTERNAL_GCS 		Cloud-Audit-Logs: MySQL-Datenzugriffslogs
PostgreSQL-Datenzugriffslogs
SQL Server-Datenzugriffslogs

Erkennt die folgenden Szenarien einer Cloud SQL-Daten-Exfiltration, die von einem in Vertex AI Agent Engine bereitgestellten Agenten initiiert wurde:

  • Live-Instanzdaten, die in einen Cloud Storage-Bucket außerhalb der Organisation exportiert wurden
  • Live-Instanzdaten wurden in einen Cloud Storage-Bucket exportiert, der der Organisation gehört und öffentlich zugänglich ist.

Bei der Aktivierung der Security Command Center Premium-Stufe auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standard-Stufe in der übergeordneten Organisation aktiviert ist. Ergebnisse werden standardmäßig als Hoch eingestuft.

Exfiltration: Agent Engine: BigQuery-Datenextraktion initiiert (Vorschau) AGENT_ENGINE_BIG_QUERY_EXFIL_TO_CLOUD_STORAGE Cloud-Audit-Logs: BigQueryAuditMetadata-Datenzugriffslogs Berechtigungen:
DATA_READ

Erkennt die folgenden Szenarien einer BigQuery-Datenextraktion, die von einem in Vertex AI Agent Engine bereitgestellten Agenten initiiert wurde:

  • Eine BigQuery-Ressource, die Eigentum der geschützten Organisation ist, wurde durch Extraktionsvorgänge in einem Cloud Storage-Bucket außerhalb der Organisation gespeichert.
  • Eine BigQuery-Ressource, die Eigentum der geschützten Organisation ist, wurde durch Extraktionsvorgänge in einem öffentlich zugänglichen Cloud Storage-Bucket gespeichert, der Eigentum dieser Organisation ist.

Bei der Aktivierung der Security Command Center Premium-Stufe auf Projektebene ist dieses Ergebnis nur verfügbar, wenn die Standard-Stufe in der übergeordneten Organisation aktiviert ist. Ergebnisse werden standardmäßig als Niedrig eingestuft.
Anfänglicher Zugriff: Agent Engine-Identität – abgelehnte Aktionen aufgrund übermäßiger Berechtigungen (Vorschau) AGENT_ENGINE_EXCESSIVE_FAILED_ATTEMPT Cloud-Audit-Logs: Administratoraktivitätslogs Eine Identität, die mit einem in Vertex AI Agent Engine bereitgestellten KI-Agenten verknüpft ist, hat wiederholt permission denied-Fehler ausgelöst, indem sie versucht hat, Änderungen an mehreren Methoden und Diensten vorzunehmen. Ergebnisse werden standardmäßig als Mittel eingestuft.
Rechteausweitung: Agent Engine – verdächtige Tokengenerierung (Vorschau) AGENT_ENGINE_SUSPICIOUS_TOKEN_GENERATION_IMPLICIT_DELEGATION Cloud-Audit-Logs:
IAM Data Access-Audit-Logs
 Die Berechtigung iam.serviceAccounts.implicitDelegation wurde missbraucht, um über eine Vertex AI Agent Engine Zugriffstokens von einem Dienstkonto mit höheren Berechtigungen zu generieren. Ergebnisse werden standardmäßig als Niedrig eingestuft.
Rechteausweitung: Agent Engine – verdächtige Tokengenerierung (Vorschau) AGENT_ENGINE_SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_OPENID Cloud-Audit-Logs:
IAM Data Access-Audit-Logs

Die IAM-Berechtigung iam.serviceAccounts.getOpenIdToken wurde projektübergreifend über eine Vertex AI Agent Engine verwendet.

Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. Ergebnisse werden standardmäßig als Niedrig eingestuft.
Rechteausweitung: Agent Engine – verdächtige Tokengenerierung (Vorschau) AGENT_ENGINE_SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_ACCESS_TOKEN Cloud-Audit-Logs:
IAM Data Access-Audit-Logs

Die IAM-Berechtigung iam.serviceAccounts.getAccessToken wurde projektübergreifend über einen KI-Agenten verwendet, der in Vertex AI Agent Engine bereitgestellt wurde.

Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. Ergebnisse werden standardmäßig als Niedrig eingestuft.
Informationen zu eingestellten und deaktivierten Regeln finden Sie unter Einstellung.

Nächste Schritte