Descripción general de la detección de amenazas de Agent Engine

En este documento, se describen la detección de amenazas de Agent Engine y sus detectores.

Agent Engine Threat Detection es un servicio integrado de Security Command Center que te ayuda a detectar e investigar posibles ataques a agentes de IA implementados en el entorno de ejecución de Vertex AI Agent Engine. Si el servicio de Agent Engine Threat Detection detecta un posible ataque, genera un hallazgo en Security Command Center casi en tiempo real.

La Detección de amenazas de Agent Engine supervisa los agentes de IA compatibles y detecta las amenazas de tiempo de ejecución más comunes. Las amenazas en el tiempo de ejecución incluyen la ejecución de objetos binarios o secuencias de comandos maliciosos, la fuga de contenedores, los shells inversos y el uso de herramientas de ataque dentro del entorno del agente.

Además, los detectores del plano de control de Event Threat Detection analizan varios registros de auditoría (incluidos los registros de Identity and Access Management, BigQuery y Cloud SQL) y los registros de Vertex AI Agent Engine (stdout y stderr) para detectar actividades sospechosas. Las amenazas del plano de control incluyen intentos de filtración de datos, denegaciones excesivas de permisos y generación sospechosa de tokens.

Beneficios

La detección de amenazas de Agent Engine ofrece los siguientes beneficios:

  • Reduce de forma proactiva el riesgo de las cargas de trabajo de IA. La detección de amenazas de Agent Engine te ayuda a detectar amenazas y responder a ellas de forma anticipada supervisando el comportamiento y el entorno de tus agentes de IA.
  • Administra la seguridad de la IA en una ubicación unificada. Los resultados de la detección de amenazas de Agent Engine aparecen directamente en Security Command Center. Tienes una interfaz central para ver y administrar los hallazgos de amenazas junto con otros riesgos de seguridad en la nube.

Cómo funciona

La Detección de amenazas de Agent Engine recopila datos de telemetría de los agentes de IA alojados para analizar procesos, secuencias de comandos y bibliotecas que podrían indicar un ataque en el tiempo de ejecución. Cuando la Detección de amenazas de Agent Engine detecta una posible amenaza, hace lo siguiente:

  1. La detección de amenazas de Agent Engine usa un proceso de supervisión para recopilar información de eventos mientras se ejecuta la carga de trabajo del agente. El proceso de observación puede tardar hasta un minuto en iniciarse y recopilar información.

  2. La Detección de amenazas de Agent Engine analiza la información de eventos recopilada para determinar si un evento indica un incidente. La detección de amenazas de Agent Engine usa el procesamiento de lenguaje natural (PLN) para analizar secuencias de comandos de Bash y Python en busca de código malicioso.

    • Si la Detección de amenazas de Agent Engine identifica un incidente, lo informa como un hallazgo en Security Command Center.

    • Si la Detección de amenazas de Agent Engine no identifica un incidente, no almacena ninguna información.

    • Todos los datos recopilados se procesan en la memoria y no persisten después del análisis, a menos que se identifiquen como un incidente y se informen como un hallazgo.

Para obtener información sobre cómo revisar los resultados de Agent Engine Threat Detection en la consola deGoogle Cloud , consulta Revisa los resultados.

Detectores

En esta sección, se enumeran los detectores de tiempo de ejecución y de plano de control que supervisan los agentes de IA implementados en el entorno de ejecución de Vertex AI Agent Engine.

Detectores de tiempo de ejecución

La detección de amenazas de Agent Engine incluye los siguientes detectores de tiempo de ejecución:

Nombre visible Nombre del módulo Descripción
Ejecución: Se ejecutó el objeto binario malicioso agregado (vista previa) AGENT_ENGINE_ADDED_MALICIOUS_BINARY_EXECUTED

Un proceso ejecutó un archivo binario que la inteligencia de amenazas identifica como malicioso. Este objeto binario no formaba parte de la carga de trabajo original del agente.

Este evento sugiere que un atacante tiene el control de la carga de trabajo y está ejecutando software malicioso.

Ejecución: Se cargó la biblioteca maliciosa agregada (vista previa) AGENT_ENGINE_ADDED_MALICIOUS_LIBRARY_LOADED

Un proceso cargó una biblioteca que la inteligencia de amenazas identifica como maliciosa. Esta biblioteca no formaba parte de la carga de trabajo original del agente.

Este evento sugiere que es probable que un atacante tenga el control de la carga de trabajo y esté ejecutando software malicioso.

Ejecución: Se ejecutó el objeto binario malicioso integrado (versión preliminar) AGENT_ENGINE_BUILT_IN_MALICIOUS_BINARY_EXECUTED

Un proceso ejecutó un archivo binario que la inteligencia de amenazas identifica como malicioso. Este objeto binario formaba parte de la carga de trabajo original del agente.

Este evento podría sugerir que un atacante está implementando una carga de trabajo maliciosa. Por ejemplo, el actor podría haber obtenido el control de una canalización de compilación legítima y haber inyectado el objeto binario malicioso en la carga de trabajo de la IA.

Ejecución: Escape del contenedor (vista previa) AGENT_ENGINE_CONTAINER_ESCAPE

Un proceso que se ejecuta dentro del contenedor intentó eludir el aislamiento del contenedor con técnicas o archivos binarios de explotación conocidos, que la inteligencia sobre amenazas identifica como amenazas potenciales. Un escape exitoso puede permitir que un atacante acceda al sistema host y, potencialmente, comprometa todo el entorno.

Esta acción sugiere que un atacante está aprovechando vulnerabilidades para obtener acceso no autorizado al sistema host o a la infraestructura más amplia.

Ejecución: Ejecución de la herramienta de ataque de Kubernetes (vista previa) AGENT_ENGINE_KUBERNETES_ATTACK_TOOL_EXECUTION

Un proceso ejecutó una herramienta de ataque específica de Kubernetes, que la inteligencia sobre amenazas identifica como una amenaza potencial.

Esta acción sugiere que un atacante obtuvo acceso al clúster y está usando la herramienta para aprovechar vulnerabilidades o configuraciones específicas de Kubernetes.

Ejecución: Ejecución de la herramienta de reconocimiento local (versión preliminar) AGENT_ENGINE_LOCAL_RECONNAISSANCE_TOOL_EXECUTION

Un proceso ejecutó una herramienta de reconocimiento local que no suele formar parte de la carga de trabajo del agente. La inteligencia sobre amenazas identifica estas herramientas como amenazas potenciales.

Este evento sugiere que un atacante está intentando recopilar información interna del sistema, como mapear la infraestructura, identificar vulnerabilidades o recopilar datos sobre las configuraciones del sistema.

Ejecución: Se ejecutó un código malicioso de Python (versión preliminar) AGENT_ENGINE_MALICIOUS_PYTHON_EXECUTED

Un modelo de aprendizaje automático identificó código de Python ejecutado como malicioso. Un atacante puede usar Python para descargar herramientas o archivos en un entorno vulnerado y ejecutar comandos sin usar objetos binarios.

El detector usa el procesamiento de lenguaje natural (PLN) para analizar el contenido del código de Python. Dado que este enfoque no se basa en firmas, los detectores pueden identificar código malicioso de Python conocido y nuevo.

Ejecución: Se ejecutó un objeto binario malicioso modificado (vista previa) AGENT_ENGINE_MODIFIED_MALICIOUS_BINARY_EXECUTED

Un proceso ejecutó un archivo binario que la inteligencia de amenazas identifica como malicioso. Este objeto binario formaba parte de la carga de trabajo original del agente, pero se modificó durante el tiempo de ejecución.

Este evento sugiere que un atacante podría tener el control de la carga de trabajo y ejecutar software malicioso.

Ejecución: Se cargó la biblioteca maliciosa modificada (vista previa) AGENT_ENGINE_MODIFIED_MALICIOUS_LIBRARY_LOADED

Un proceso cargó una biblioteca que la inteligencia de amenazas identifica como maliciosa. Esta biblioteca formaba parte de la carga de trabajo original del agente, pero se modificó durante el tiempo de ejecución.

Este evento sugiere que un atacante tiene el control de la carga de trabajo y está ejecutando software malicioso.

Se ejecutó una secuencia de comandos maliciosa (vista previa) AGENT_ENGINE_MALICIOUS_SCRIPT_EXECUTED

Un modelo de aprendizaje automático identificó código Bash ejecutado como malicioso. Un atacante puede usar Bash para descargar herramientas o archivos en un entorno vulnerado y ejecutar comandos sin usar objetos binarios.

El detector usa PNL para analizar el contenido del código de Bash. Dado que este enfoque no se basa en firmas, los detectores pueden identificar código Bash malicioso conocido y nuevo.
Se detectó una URL maliciosa (vista previa) AGENT_ENGINE_MALICIOUS_URL_OBSERVED

La detección de amenazas de Agent Engine detectó una URL maliciosa en la lista de argumentos de un proceso en ejecución.

El detector compara estas URLs con las listas de recursos web no seguros que mantiene el servicio de Navegación segura de Google. Si crees que Google clasificó incorrectamente una URL como sitio de phishing o software malicioso, informa el problema en Reporting Incorrect Data.
Shell inversa (vista previa) AGENT_ENGINE_REVERSE_SHELL

Es un proceso iniciado con redireccionamiento de transmisión a un socket remoto conectado. El detector busca stdin vinculada a un socket remoto.

Una shell inversa permite que un atacante se comunique desde una carga de trabajo comprometida a una máquina controlada por atacantes. Luego, el atacante puede dirigir y controlar la carga de trabajo, por ejemplo, como parte de una botnet.

Shell secundaria inesperada (versión preliminar) AGENT_ENGINE_UNEXPECTED_CHILD_SHELL

Un proceso que normalmente no invoca shells generó inesperadamente un proceso de shell.

El detector supervisa las ejecuciones de procesos y genera un hallazgo cuando un proceso principal conocido genera una shell de forma inesperada.

Detectores del plano de control

En esta sección, se describen los detectores del plano de control de Event Threat Detection que están diseñados específicamente para los agentes de IA implementados en el entorno de ejecución de Vertex AI Agent Engine. Event Threat Detection también tiene detectores para amenazas generales relacionadas con la IA.

Estos detectores del plano de control están habilitados de forma predeterminada. Estos detectores se administran de la misma manera que los demás detectores de Event Threat Detection. Para obtener más información, consulta Usa Event Threat Detection.

Nombre visible Nombre de la API Tipos de fuente del archivo de registro Descripción
Descubrimiento: Autoinvestigación de la cuenta de servicio de Agent Engine (vista previa) AGENT_ENGINE_IAM_ANOMALOUS_BEHAVIOR_SERVICE_ACCOUNT_GETS_OWN_IAM_POLICY Registros de auditoría de Cloud:
Registros de auditoría de acceso a datos de IAM
Permisos:
DATA_READ

Se usó una identidad asociada a un agente de IA implementado en Vertex AI Agent Engine para investigar los roles y los permisos asociados con esa misma cuenta de servicio.

Funciones sensibles

Los resultados se clasifican como gravedad Alta o Media, según la sensibilidad de los roles otorgados. Para obtener más información, consulta Funciones y permisos sensibles de IAM.

Robo de datos: Agent Engine inició el robo de datos de BigQuery (vista previa) AGENT_ENGINE_BIG_QUERY_EXFIL_VPC_PERIMETER_VIOLATION
AGENT_ENGINE_BIG_QUERY_EXFIL_TO_EXTERNAL_TABLE 		Registros de auditoría de Cloud: Registros de acceso a los datos de BigQueryAuditMetadata Permisos:
DATA_READ

Detecta las siguientes situaciones de robo de datos de BigQuery iniciadas por un agente implementado en Agent Engine de Vertex AI:

  • Los recursos que pertenecen a la organización protegida se guardaron fuera de la organización, incluidas las operaciones de copia o transferencia.

    Este escenario corresponde al tipo de hallazgo AGENT_ENGINE_BIG_QUERY_EXFIL_TO_EXTERNAL_TABLE y tiene gravedad Alta.

  • Se intentó acceder a recursos de BigQuery protegidos por los Controles del servicio de VPC.

    Este escenario corresponde al tipo de hallazgo AGENT_ENGINE_BIG_QUERY_EXFIL_VPC_PERIMETER_VIOLATION y tiene gravedad Baja.

Robo de datos: Agent Engine inició el robo de datos de Cloud SQL (vista previa) AGENT_ENGINE_CLOUDSQL_EXFIL_EXPORT_TO_PUBLIC_GCS
AGENT_ENGINE_CLOUDSQL_EXFIL_EXPORT_TO_EXTERNAL_GCS 		Registros de auditoría de Cloud: Registros de acceso a los datos de MySQL
Registros de acceso a los datos de PostgreSQL
Registros de acceso a los datos de SQL Server

Detecta las siguientes situaciones de robo de datos de Cloud SQL iniciadas por un agente implementado en Vertex AI Agent Engine:

  • Los datos de la instancia publicada se exportaron a un bucket de Cloud Storage fuera de la organización.
  • Los datos de la instancia publicada se exportaron a un bucket de Cloud Storage que pertenece a la organización y que es de acceso público.

Para las activaciones a nivel del proyecto del nivel Premium de Security Command Center, este hallazgo solo está disponible si el nivel Estándar está habilitado en la organización principal. De forma predeterminada, los resultados se clasifican como de gravedad Alta.

Robo de datos: Agent Engine inició la extracción de datos de BigQuery (vista previa) AGENT_ENGINE_BIG_QUERY_EXFIL_TO_CLOUD_STORAGE Registros de auditoría de Cloud: Registros de acceso a los datos de BigQueryAuditMetadata Permisos:
DATA_READ

Detecta las siguientes situaciones de extracción de datos de BigQuery iniciada por un agente implementado en Vertex AI Agent Engine:

  • Un recurso de BigQuery que pertenece a la organización protegida se guardó, a través de operaciones de extracción, en un bucket de Cloud Storage fuera de la organización.
  • Un recurso de BigQuery que pertenece a la organización protegida se guardó, a través de operaciones de extracción, en un bucket de Cloud Storage de acceso público que pertenece a esa organización.

Para las activaciones a nivel del proyecto del nivel Premium de Security Command Center, este hallazgo solo está disponible si el nivel Estándar está habilitado en la organización principal. De forma predeterminada, los hallazgos se clasifican como de gravedad Baja.
Acceso inicial: Acciones denegadas de permisos excesivos de identidad de Agent Engine (vista previa) AGENT_ENGINE_EXCESSIVE_FAILED_ATTEMPT Registros de auditoría de Cloud: Registros de actividad del administrador Una identidad asociada a un agente de IA implementado en Vertex AI Agent Engine activó repetidamente errores de permiso denegado al intentar realizar cambios en varios métodos y servicios. De forma predeterminada, los resultados se clasifican como gravedad Media.
Escalada de privilegios: Generación sospechosa de tokens de Agent Engine (vista previa) AGENT_ENGINE_SUSPICIOUS_TOKEN_GENERATION_IMPLICIT_DELEGATION Registros de auditoría de Cloud:
Registros de auditoría de acceso a los datos de IAM
 El permiso iam.serviceAccounts.implicitDelegation se usó de forma incorrecta para generar tokens de acceso desde una cuenta de servicio con más privilegios a través de un Vertex AI Agent Engine. De forma predeterminada, los hallazgos se clasifican como de gravedad Baja.
Escalada de privilegios: Generación sospechosa de tokens de Agent Engine (vista previa) AGENT_ENGINE_SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_OPENID Registros de auditoría de Cloud:
Registros de auditoría de acceso a los datos de IAM

El permiso de IAM iam.serviceAccounts.getOpenIdToken se usó en todos los proyectos a través de un Vertex AI Agent Engine.

Este hallazgo no está disponible para las activaciones a nivel del proyecto. De forma predeterminada, los hallazgos se clasifican como de gravedad Baja.
Escalada de privilegios: Generación sospechosa de tokens de Agent Engine (vista previa) AGENT_ENGINE_SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_ACCESS_TOKEN Registros de auditoría de Cloud:
Registros de auditoría de acceso a los datos de IAM

El permiso de IAM iam.serviceAccounts.getAccessToken se usó en todos los proyectos a través de un agente de IA implementado en Vertex AI Agent Engine.

Este hallazgo no está disponible para las activaciones a nivel del proyecto. De forma predeterminada, los hallazgos se clasifican como de gravedad Baja.
Para conocer las reglas que se dieron de baja y se cerraron, consulta Bajas.

¿Qué sigue?