En este documento se describe Agent Engine Threat Detection y sus detectores.
Detección de amenazas de Agent Engine es un servicio integrado de Security Command Center que te ayuda a detectar e investigar posibles ataques a agentes de IA que se hayan desplegado en el tiempo de ejecución de Vertex AI Agent Engine. Si el servicio Detección de amenazas de Agent Engine detecta un posible ataque, genera un hallazgo en Security Command Center casi en tiempo real.
Detección de amenazas de Agent Engine monitoriza los agentes de IA admitidos y detecta las amenazas de tiempo de ejecución más habituales. Las amenazas en tiempo de ejecución incluyen la ejecución de archivos binarios o scripts maliciosos, escapes de contenedores, shells inversos y el uso de herramientas de ataque en el entorno del agente.
Además, los detectores del plano de control de Detección de amenazas de eventos analizan varios registros de auditoría (incluidos los registros de gestión de identidades y accesos, BigQuery y Cloud SQL) y los registros de Vertex AI Agent Engine (stdout y stderr) para detectar actividades sospechosas. Las amenazas del plano de control incluyen intentos de exfiltración de datos, denegaciones de permisos excesivas y generación de tokens sospechosa.
Ventajas
Detección de amenazas de Agent Engine ofrece las siguientes ventajas:
- Reduce los riesgos de forma proactiva en las cargas de trabajo de IA. Detección de amenazas de Agent Engine te ayuda a detectar y responder a las amenazas de forma temprana monitorizando el comportamiento y el entorno de tus agentes de IA.
- Gestiona la seguridad de la IA en una ubicación unificada. Los resultados de detección de amenazas de Agent Engine aparecen directamente en Security Command Center. Dispones de una interfaz centralizada para ver y gestionar los resultados de amenazas junto con otros riesgos de seguridad en la nube.
Cómo funciona
Detección de amenazas de Agent Engine recoge telemetría de los agentes de IA alojados para analizar procesos, secuencias de comandos y bibliotecas que puedan indicar un ataque en tiempo de ejecución. Cuando Detección de amenazas de Agent Engine detecta una amenaza potencial, hace lo siguiente:
Detección de amenazas de Agent Engine usa un proceso de observador para recoger información de eventos mientras se ejecuta la carga de trabajo del agente. El proceso de observador puede tardar hasta un minuto en iniciarse y recoger información.
Detección de amenazas de Agent Engine analiza la información de eventos recogida para determinar si un evento indica un incidente. Detección de amenazas de Agent Engine usa el procesamiento del lenguaje natural (PLN) para analizar secuencias de comandos de Bash y Python en busca de código malicioso.
Si Detección de amenazas de Agent Engine identifica un incidente, lo notifica como un hallazgo en Security Command Center.
Si Detección de amenazas de Agent Engine no identifica ningún incidente, no almacena ninguna información.
Todos los datos recogidos se procesan en la memoria y no se conservan después del análisis, a menos que se identifiquen como un incidente y se notifiquen como un hallazgo.
Para obtener información sobre cómo revisar las detecciones de amenazas de Agent Engine en la consola deGoogle Cloud , consulta Revisar detecciones.
Detectores
En esta sección se enumeran los detectores de tiempo de ejecución y de plano de control que monitorizan los agentes de IA desplegados en el tiempo de ejecución de Vertex AI Agent Engine.
Detectores de tiempo de ejecución
Agent Engine Threat Detection incluye los siguientes detectores de tiempo de ejecución:
| Nombre visible | Nombre de módulo | Descripción |
|---|---|---|
| Ejecución: se ha ejecutado un binario malicioso añadido (vista previa) | AGENT_ENGINE_ADDED_MALICIOUS_BINARY_EXECUTED |
Un proceso ha ejecutado un archivo binario que la inteligencia de amenazas identifica como malicioso. Este archivo binario no formaba parte de la carga de trabajo original del agente. Este evento sugiere claramente que un atacante tiene el control de la carga de trabajo y está ejecutando software malicioso. |
| Ejecución: se ha añadido la carga de biblioteca maliciosa (vista previa) | AGENT_ENGINE_ADDED_MALICIOUS_LIBRARY_LOADED |
Un proceso ha cargado una biblioteca que la inteligencia contra amenazas identifica como maliciosa. Esta biblioteca no formaba parte de la carga de trabajo original del agente. Este evento sugiere que es probable que un atacante tenga el control de la carga de trabajo y esté ejecutando software malicioso. |
| Ejecución: se ha ejecutado un archivo binario malicioso integrado (versión preliminar) | AGENT_ENGINE_BUILT_IN_MALICIOUS_BINARY_EXECUTED |
Un proceso ha ejecutado un archivo binario que la inteligencia de amenazas identifica como malicioso. Este archivo binario formaba parte de la carga de trabajo original del agente. Este evento puede indicar que un atacante está desplegando una carga de trabajo maliciosa. Por ejemplo, el actor podría haber obtenido el control de una canalización de compilación legítima e inyectado el archivo binario malicioso en la carga de trabajo del agente. |
| Ejecución: escape de contenedores (vista previa) | AGENT_ENGINE_CONTAINER_ESCAPE |
Un proceso que se ejecuta dentro del contenedor ha intentado eludir el aislamiento del contenedor mediante el uso de técnicas o archivos binarios de exploits conocidos, que la inteligencia sobre amenazas identifica como posibles amenazas. Si un atacante consigue escapar, puede acceder al sistema host y, potencialmente, poner en peligro todo el entorno. Esta acción sugiere que un atacante está aprovechando vulnerabilidades para obtener acceso no autorizado al sistema host o a una infraestructura más amplia. |
| Ejecución: ejecución de la herramienta de ataque de Kubernetes (vista previa) | AGENT_ENGINE_KUBERNETES_ATTACK_TOOL_EXECUTION |
Un proceso ha ejecutado una herramienta de ataque específica de Kubernetes, que la información sobre amenazas identifica como una amenaza potencial. Esta acción sugiere que un atacante ha obtenido acceso al clúster y está usando la herramienta para aprovechar vulnerabilidades o configuraciones específicas de Kubernetes. |
| Ejecución: ejecución de la herramienta de reconocimiento local (vista previa) | AGENT_ENGINE_LOCAL_RECONNAISSANCE_TOOL_EXECUTION |
Un proceso ha ejecutado una herramienta de reconocimiento local que no suele formar parte de la carga de trabajo del agente. La inteligencia de amenazas identifica estas herramientas como posibles amenazas. Este evento sugiere que un atacante está intentando recopilar información del sistema interno, como mapear la infraestructura, identificar vulnerabilidades o recoger datos sobre las configuraciones del sistema. |
| Ejecución: se ha ejecutado Python malicioso (vista previa) | AGENT_ENGINE_MALICIOUS_PYTHON_EXECUTED |
Un modelo de aprendizaje automático ha identificado código Python ejecutado como malicioso. Un atacante puede usar Python para descargar herramientas o archivos en un entorno vulnerado y ejecutar comandos sin usar archivos binarios. El detector usa el procesamiento del lenguaje natural (PLN) para analizar el contenido del código Python. Como este enfoque no se basa en firmas, los detectores pueden identificar código Python malicioso conocido y nuevo. |
| Ejecución: se ha ejecutado un archivo binario malicioso modificado (versión preliminar) | AGENT_ENGINE_MODIFIED_MALICIOUS_BINARY_EXECUTED |
Un proceso ha ejecutado un archivo binario que la inteligencia de amenazas identifica como malicioso. Este archivo binario formaba parte de la carga de trabajo original del agente, pero se modificó en el tiempo de ejecución. Este evento sugiere que un atacante podría tener el control de la carga de trabajo y estar ejecutando software malicioso. |
| Ejecución: se ha cargado una biblioteca maliciosa modificada (vista previa) | AGENT_ENGINE_MODIFIED_MALICIOUS_LIBRARY_LOADED |
Un proceso ha cargado una biblioteca que la inteligencia contra amenazas identifica como maliciosa. Esta biblioteca formaba parte de la carga de trabajo original del agente, pero se modificó en el tiempo de ejecución. Este evento sugiere que un atacante tiene el control de la carga de trabajo y está ejecutando software malicioso. |
| Secuencia de comandos maliciosa ejecutada (vista previa) | AGENT_ENGINE_MALICIOUS_SCRIPT_EXECUTED |
Un modelo de aprendizaje automático ha identificado código Bash ejecutado como malicioso. Un atacante puede usar Bash para descargar herramientas o archivos en un entorno vulnerado y ejecutar comandos sin usar binarios. El detector usa el PLN para analizar el contenido del código Bash. Como este enfoque no se basa en firmas, los detectores pueden identificar código Bash malicioso conocido y nuevo. |
| URL maliciosa detectada (vista previa) | AGENT_ENGINE_MALICIOUS_URL_OBSERVED |
Detección de amenazas de Agent Engine ha detectado una URL maliciosa en la lista de argumentos de un proceso en ejecución. El detector compara estas URLs con las listas de recursos web no seguros que mantiene el servicio Navegación segura de Google. Si crees que Google ha clasificado incorrectamente una URL como sitio de phishing o malware, informa del problema en Reporting Incorrect Data (Informar de datos incorrectos). |
| Shell inverso (vista previa) | AGENT_ENGINE_REVERSE_SHELL |
Se ha iniciado un proceso con redirección de flujo a un socket conectado remoto. El detector busca Una shell inversa permite que un atacante se comunique desde una carga de trabajo vulnerada a una máquina controlada por el atacante. De esta forma, el atacante puede controlar la carga de trabajo, por ejemplo, como parte de una botnet. |
| Child Shell inesperado (vista previa) | AGENT_ENGINE_UNEXPECTED_CHILD_SHELL |
Un proceso que normalmente no invoca shells ha generado de forma inesperada un proceso de shell. El detector monitoriza las ejecuciones de procesos y genera un resultado cuando un proceso superior conocido genera un shell de forma inesperada. |
Detectores del plano de control
En esta sección se describen los detectores del plano de control de Event Threat Detection que se han diseñado específicamente para los agentes de IA implementados en el tiempo de ejecución de Vertex AI Agent Engine. Event Threat Detection también tiene detectores para amenazas generales relacionadas con la IA.
Estos detectores del plano de control están habilitados de forma predeterminada. Estos detectores se gestionan de la misma forma que otros detectores de Event Threat Detection. Para obtener más información, consulta Usar Event Threat Detection.
| Nombre visible | Nombre de la API | Tipos de fuentes de registro | Descripción |
|---|---|---|---|
| Discovery: Agent Engine Service Account Self-Investigation (Vista previa) | AGENT_ENGINE_IAM_ANOMALOUS_BEHAVIOR_SERVICE_ACCOUNT_GETS_OWN_IAM_POLICY |
Registros de auditoría de Cloud: Registros de auditoría de acceso a datos de IAM Permisos: DATA_READ
|
Se ha usado una identidad asociada a un agente de IA implementado en Vertex AI Agent Engine para investigar los roles y los permisos asociados a esa misma cuenta de servicio. Roles sensibles Los resultados se clasifican como de gravedad alta o media, según la sensibilidad de los roles concedidos. Para obtener más información, consulta Roles y permisos de gestión de identidades y accesos sensibles. |
| Exfiltración: Agent Engine ha iniciado la exfiltración de datos de BigQuery (versión preliminar) |
AGENT_ENGINE_BIG_QUERY_EXFIL_VPC_PERIMETER_VIOLATIONAGENT_ENGINE_BIG_QUERY_EXFIL_TO_EXTERNAL_TABLE
|
Cloud Audit Logs:
Registros de acceso a datos de BigQueryAuditMetadata
Permisos:DATA_READ
|
Detecta los siguientes casos de exfiltración de datos de BigQuery iniciada por un agente implementado en Vertex AI Agent Engine:
|
| Exfiltración: exfiltración de Cloud SQL iniciada por Agent Engine (vista previa) |
AGENT_ENGINE_CLOUDSQL_EXFIL_EXPORT_TO_PUBLIC_GCSAGENT_ENGINE_CLOUDSQL_EXFIL_EXPORT_TO_EXTERNAL_GCS
|
Registros de auditoría de Cloud:
Registros de acceso a datos de MySQL Registros de acceso a datos de PostgreSQL Registros de acceso a datos de SQL Server |
Detecta los siguientes casos de exfiltración de datos de Cloud SQL iniciada por un agente implementado en Vertex AI Agent Engine:
En el caso de las activaciones a nivel de proyecto del nivel Premium de Security Command Center, esta detección solo está disponible si el nivel Standard está habilitado en la organización principal. De forma predeterminada, los resultados se clasifican como de gravedad alta. |
| Exfiltración: extracción de datos de BigQuery iniciada por Agent Engine (versión preliminar) | AGENT_ENGINE_BIG_QUERY_EXFIL_TO_CLOUD_STORAGE |
Cloud Audit Logs:
Registros de acceso a datos de BigQueryAuditMetadata
Permisos:DATA_READ
|
Detecta los siguientes casos de extracción de datos de BigQuery iniciada por un agente implementado en Vertex AI Agent Engine:
En el caso de las activaciones a nivel de proyecto del nivel Premium de Security Command Center, esta detección solo está disponible si el nivel Standard está habilitado en la organización principal. De forma predeterminada, las detecciones se clasifican como de gravedad Baja. |
| Acceso inicial: acciones de denegación de permisos excesivos de identidad de Agent Engine (vista previa) | AGENT_ENGINE_EXCESSIVE_FAILED_ATTEMPT |
Registros de auditoría de Cloud: Registros de actividad del administrador | Una identidad asociada a un agente de IA desplegado en Vertex AI Agent Engine ha activado repetidamente errores de permiso denegado al intentar realizar cambios en varios métodos y servicios. De forma predeterminada, las detecciones se clasifican como de gravedad Media. |
| Escalada de privilegios: generación de tokens sospechosos de Agent Engine (vista previa) | AGENT_ENGINE_SUSPICIOUS_TOKEN_GENERATION_IMPLICIT_DELEGATION |
Registros de auditoría de Cloud: Registros de auditoría de acceso a datos de IAM |
El permiso iam.serviceAccounts.implicitDelegation se ha usado de forma inadecuada para generar tokens de acceso desde una cuenta de servicio con más privilegios a través de un Vertex AI Agent Engine. De forma predeterminada, las detecciones se clasifican como de gravedad Baja.
|
| Escalada de privilegios: generación de tokens sospechosos de Agent Engine (vista previa) | AGENT_ENGINE_SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_OPENID |
Registros de auditoría de Cloud: Registros de auditoría de acceso a datos de IAM |
El permiso de gestión de identidades y accesos Este hallazgo no está disponible para activaciones a nivel de proyecto. De forma predeterminada, las detecciones se clasifican como de gravedad Baja. |
| Escalada de privilegios: generación de tokens sospechosos de Agent Engine (vista previa) | AGENT_ENGINE_SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_ACCESS_TOKEN |
Registros de auditoría de Cloud: Registros de auditoría de acceso a datos de IAM |
El permiso de gestión de identidades y accesos Este hallazgo no está disponible para activaciones a nivel de proyecto. De forma predeterminada, las detecciones se clasifican como de gravedad Baja. |
Siguientes pasos
- Consulta cómo usar la detección de amenazas de Agent Engine.
- Consulta cómo usar Detección de amenazas de eventos.
- Consulta el índice de hallazgos de amenazas.