Panoramica di Agent Engine Threat Detection

Questo documento descrive Agent Engine Threat Detection e i relativi rilevatori.

Agent Engine Threat Detection è un servizio integrato di Security Command Center che ti aiuta a rilevare e analizzare potenziali attacchi agli agenti AI di cui è stato eseguito il deployment nel runtime di Vertex AI Agent Engine. Se il servizio di rilevamento delle minacce di Agent Engine rileva un potenziale attacco, genera un risultato in Security Command Center quasi in tempo reale.

Agent Engine Threat Detection monitora gli agenti AI supportati e rileva le minacce di runtime più comuni. Le minacce di runtime includono l'esecuzione di script o file binari dannosi, l'escape dei container, le shell inverse e l'utilizzo di strumenti di attacco nell'ambiente dell'agente.

Inoltre, i rilevatori del control plane di Event Threat Detection analizzano vari audit log (inclusi i log di Identity and Access Management, BigQuery e Cloud SQL) e i log di Vertex AI Agent Engine (stdout e stderr) per rilevare attività sospette. Le minacce al control plane includono tentativi di esfiltrazione dei dati, negazioni eccessive di autorizzazioni e generazione sospetta di token.

Vantaggi

Agent Engine Threat Detection offre i seguenti vantaggi:

  • Ridurre in modo proattivo il rischio per i carichi di lavoro di AI. Agent Engine Threat Detection ti aiuta a rilevare e rispondere tempestivamente alle minacce monitorando il comportamento e l'ambiente dei tuoi agenti AI
  • Gestisci la sicurezza dell'AI in un'unica posizione. I risultati di Agent Engine Threat Detection vengono visualizzati direttamente in Security Command Center. Hai un'interfaccia centrale per visualizzare e gestire i risultati delle minacce insieme ad altri rischi per la sicurezza del cloud.

Come funziona

Agent Engine Threat Detection raccoglie la telemetria dagli agenti AI ospitati per analizzare processi, script e librerie che potrebbero indicare un attacco runtime. Quando Agent Engine Threat Detection rileva una potenziale minaccia, esegue le seguenti operazioni:

  1. Agent Engine Threat Detection utilizza un processo di osservazione per raccogliere informazioni sugli eventi durante l'esecuzione del workload agentico. L'avvio e la raccolta delle informazioni da parte del processo di monitoraggio possono richiedere fino a un minuto.

  2. Agent Engine Threat Detection analizza le informazioni sugli eventi raccolte per determinare se un evento indica un incidente. Agent Engine Threat Detection utilizza l'elaborazione del linguaggio naturale (NLP) per analizzare gli script Bash e Python alla ricerca di codice dannoso.

    • Se Agent Engine Threat Detection identifica un incidente, lo segnala come risultato in Security Command Center.

    • Se Agent Engine Threat Detection non identifica un incidente, non memorizza alcuna informazione.

    • Tutti i dati raccolti vengono elaborati in memoria e non vengono conservati dopo l'analisi, a meno che non vengano identificati come incidente e segnalati come risultato.

Per informazioni su come esaminare i risultati del rilevamento delle minacce di Agent Engine nella consoleGoogle Cloud , consulta Esaminare i risultati.

Rilevatori

Questa sezione elenca i rilevatori di runtime e del control plane che monitorano gli agenti AI di cui è stato eseguito il deployment in Vertex AI Agent Engine Runtime.

Rilevatori di runtime

Agent Engine Threat Detection include i seguenti rilevatori di runtime:

Nome visualizzato Nome modulo Descrizione
Esecuzione: File binario aggiuntivo dannoso eseguito (anteprima) AGENT_ENGINE_ADDED_MALICIOUS_BINARY_EXECUTED

Un processo ha eseguito un file binario che Threat Intelligence identifica come dannoso. Questo binario non faceva parte del carico di lavoro agente originale.

Questo evento suggerisce fortemente che un malintenzionato abbia il controllo del carico di lavoro e stia eseguendo software dannoso.

Esecuzione: libreria dannosa aggiuntiva caricata (anteprima) AGENT_ENGINE_ADDED_MALICIOUS_LIBRARY_LOADED

Un processo ha caricato una libreria che la threat intelligence identifica come dannosa. Questa libreria non faceva parte del carico di lavoro agente originale.

Questo evento suggerisce che un malintenzionato ha probabilmente il controllo del workload ed esegue software dannoso.

Esecuzione: File binario dannoso integrato eseguito (anteprima) AGENT_ENGINE_BUILT_IN_MALICIOUS_BINARY_EXECUTED

Un processo ha eseguito un file binario che Threat Intelligence identifica come dannoso. Questo binario faceva parte del workload agentico originale.

Questo evento potrebbe suggerire che un utente malintenzionato stia implementando un workload dannoso. Ad esempio, l'attore potrebbe aver ottenuto il controllo di una pipeline di build legittima e aver inserito il binario dannoso nel workload dell'agente.

Esecuzione: Container Escape (anteprima) AGENT_ENGINE_CONTAINER_ESCAPE

Un processo in esecuzione all'interno del container ha tentato di bypassare l'isolamento del container utilizzando tecniche o file binari di exploit noti, che l'intelligence sulle minacce identifica come potenziali minacce. Un escape riuscito può consentire a un malintenzionato di accedere al sistema host e potenzialmente compromettere l'intero ambiente.

Questa azione suggerisce che un aggressore sta sfruttando le vulnerabilità per ottenere l'accesso non autorizzato al sistema host o a un'infrastruttura più ampia.

Esecuzione: esecuzione dello strumento di attacco Kubernetes (anteprima) AGENT_ENGINE_KUBERNETES_ATTACK_TOOL_EXECUTION

Un processo ha eseguito uno strumento di attacco specifico per Kubernetes, che l'intelligence sulle minacce identifica come potenziale minaccia.

Questa azione suggerisce che un malintenzionato ha ottenuto l'accesso al cluster e sta utilizzando lo strumento per sfruttare vulnerabilità o configurazioni specifiche di Kubernetes.

Esecuzione: Esecuzione dello strumento di ricognizione locale (anteprima) AGENT_ENGINE_LOCAL_RECONNAISSANCE_TOOL_EXECUTION

Un processo ha eseguito uno strumento di ricognizione locale che in genere non fa parte del carico di lavoro dell'agente. La Threat Intelligence identifica questi strumenti come potenziali minacce.

Questo evento suggerisce che un malintenzionato sta cercando di raccogliere informazioni sul sistema interno, ad esempio mappando l'infrastruttura, identificando le vulnerabilità o raccogliendo dati sulle configurazioni del sistema.

Esecuzione: Python dannoso eseguito (anteprima) AGENT_ENGINE_MALICIOUS_PYTHON_EXECUTED

Un modello di machine learning ha identificato il codice Python eseguito come dannoso. Un malintenzionato può utilizzare Python per scaricare strumenti o file in un ambiente compromesso ed eseguire comandi senza utilizzare file binari.

Il rilevatore utilizza l'elaborazione del linguaggio naturale (NLP) per analizzare i contenuti del codice Python. Poiché questo approccio non si basa su firme, i rilevatori possono identificare codice Python dannoso noto e nuovo.

Esecuzione: File binario dannoso modificato eseguito (anteprima) AGENT_ENGINE_MODIFIED_MALICIOUS_BINARY_EXECUTED

Un processo ha eseguito un binario che Threat Intelligence identifica come dannoso. Questo binario faceva parte del workload agentic originale, ma è stato modificato in fase di runtime.

Questo evento suggerisce che un malintenzionato potrebbe avere il controllo del carico di lavoro ed eseguire software dannoso.

Esecuzione: Libreria dannosa modificata caricata (anteprima) AGENT_ENGINE_MODIFIED_MALICIOUS_LIBRARY_LOADED

Un processo ha caricato una libreria che la threat intelligence identifica come dannosa. Questa libreria faceva parte del carico di lavoro agentic originale, ma è stata modificata in fase di runtime.

Questo evento suggerisce che un malintenzionato ha il controllo del carico di lavoro ed esegue software dannoso.

Script dannoso eseguito (anteprima) AGENT_ENGINE_MALICIOUS_SCRIPT_EXECUTED

Un modello di machine learning ha identificato il codice Bash eseguito come dannoso. Un malintenzionato può utilizzare Bash per scaricare strumenti o file in un ambiente compromesso ed eseguire comandi senza utilizzare i file binari.

Il rilevatore utilizza l'elaborazione NLP per analizzare i contenuti del codice Bash. Poiché questo approccio non si basa su firme, i rilevatori possono identificare codice Bash dannoso noto e nuovo.
Rilevato URL dannoso (anteprima) AGENT_ENGINE_MALICIOUS_URL_OBSERVED

Agent Engine Threat Detection ha rilevato un URL dannoso nell'elenco degli argomenti di un processo in esecuzione.

Il rilevatore confronta questi URL con gli elenchi di risorse web non sicure gestiti dal servizio Navigazione sicura di Google. Se ritieni che Google abbia classificato erroneamente un URL come sito di phishing o malware, segnala il problema all'indirizzo Segnalazione di dati errati.
Reverse Shell (anteprima) AGENT_ENGINE_REVERSE_SHELL

Un processo avviato con il reindirizzamento del flusso a un socket connesso remotamente. Il rilevatore cerca stdin associato a una presa remota.

Una shell inversa consente a un malintenzionato di comunicare da un carico di lavoro compromesso a una macchina controllata dall'attaccante. L'autore dell'attacco può quindi comandare e controllare il workload, ad esempio nell'ambito di una botnet.

Shell secondaria imprevista (anteprima) AGENT_ENGINE_UNEXPECTED_CHILD_SHELL

Un processo che normalmente non richiama shell ha generato in modo imprevisto un processo shell.

Il rilevatore monitora le esecuzioni dei processi e genera un risultato quando un processo padre noto genera una shell in modo imprevisto.

Rilevatori del control plane

Questa sezione descrive i rilevatori del control plane di Event Threat Detection progettati specificamente per gli agenti AI di cui è stato eseguito il deployment nel runtime di Vertex AI Agent Engine. Event Threat Detection dispone anche di detector per le minacce generali correlate all'AI.

Questi rilevatori del control plane sono attivati per impostazione predefinita. Gestisci questi rilevatori allo stesso modo in cui gestisci gli altri rilevatori Event Threat Detection. Per saperne di più, consulta la sezione Utilizzare Event Threat Detection.

Nome visualizzato Nome API Tipi di origini log Descrizione
Discovery: Auto-indagine sul service account Agent Engine (anteprima) AGENT_ENGINE_IAM_ANOMALOUS_BEHAVIOR_SERVICE_ACCOUNT_GETS_OWN_IAM_POLICY Audit log di Cloud:
Audit log di accesso ai dati IAM
Autorizzazioni:
DATA_READ

Un'identità associata a un agente AI di cui è stato eseguito il deployment in Vertex AI Agent Engine è stata utilizzata per esaminare i ruoli e le autorizzazioni associati allo stesso account di servizio.

Ruoli sensibili

I risultati sono classificati come gravità Alta o Media, a seconda della sensibilità dei ruoli concessi. Per saperne di più, consulta Ruoli e autorizzazioni IAM sensibili.

Esfiltrazione: Agent Engine ha avviato l'esfiltrazione dei dati di BigQuery (anteprima) AGENT_ENGINE_BIG_QUERY_EXFIL_VPC_PERIMETER_VIOLATION
AGENT_ENGINE_BIG_QUERY_EXFIL_TO_EXTERNAL_TABLE 		Cloud Audit Logs: Log di accesso ai dati BigQueryAuditMetadata Autorizzazioni:
DATA_READ

Rileva i seguenti scenari di esfiltrazione di dati di BigQuery avviata da un agente di cui è stato eseguito il deployment in Vertex AI Agent Engine:

  • Le risorse di proprietà dell'organizzazione protetta sono state salvate al di fuori dell'organizzazione, incluse le operazioni di copia o trasferimento.

    Questo scenario corrisponde al tipo di risultato AGENT_ENGINE_BIG_QUERY_EXFIL_TO_EXTERNAL_TABLE e ha gravità Elevata.

  • Sono stati effettuati tentativi di accesso alle risorse BigQuery protette da Controlli di servizio VPC.

    Questo scenario corrisponde al tipo di risultato AGENT_ENGINE_BIG_QUERY_EXFIL_VPC_PERIMETER_VIOLATION e ha gravità Bassa.

Esfiltrazione: Agent Engine ha avviato l'esfiltrazione dei dati di Cloud SQL (anteprima) AGENT_ENGINE_CLOUDSQL_EXFIL_EXPORT_TO_PUBLIC_GCS
AGENT_ENGINE_CLOUDSQL_EXFIL_EXPORT_TO_EXTERNAL_GCS 		Cloud Audit Logs: Log di accesso ai dati MySQL
Log di accesso ai dati PostgreSQL
Log di accesso ai dati SQL Server

Rileva i seguenti scenari di esfiltrazione di dati di Cloud SQL avviata da un agente di cui è stato eseguito il deployment in Vertex AI Agent Engine:

  • I dati dell'istanza live sono stati esportati in un bucket Cloud Storage al di fuori dell'organizzazione.
  • I dati dell'istanza live sono stati esportati in un bucket Cloud Storage di proprietà dell'organizzazione e accessibile pubblicamente.

Per le attivazioni a livello di progetto del livello Security Command Center Premium, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale. Per impostazione predefinita, i risultati sono classificati come di gravità Alta.

Esfiltrazione: Agent Engine ha avviato l'estrazione dei dati di BigQuery (anteprima) AGENT_ENGINE_BIG_QUERY_EXFIL_TO_CLOUD_STORAGE Cloud Audit Logs: Log di accesso ai dati BigQueryAuditMetadata Autorizzazioni:
DATA_READ

Rileva i seguenti scenari di estrazione dei dati di BigQuery avviata da un agente di cui è stato eseguito il deployment in Vertex AI Agent Engine:

  • Una risorsa BigQuery di proprietà dell'organizzazione protetta è stata salvata, tramite operazioni di estrazione, in un bucket Cloud Storage al di fuori dell'organizzazione.
  • Una risorsa BigQuery di proprietà dell'organizzazione protetta è stata salvata, tramite operazioni di estrazione, in un bucket Cloud Storage accessibile pubblicamente di proprietà di questa organizzazione.

Per le attivazioni a livello di progetto del livello Security Command Center Premium, questo risultato è disponibile solo se il livello Standard è abilitato nell'organizzazione principale. Per impostazione predefinita, i risultati vengono classificati come di gravità Bassa.
Accesso iniziale: azioni negate per autorizzazioni eccessive dell'identità di Agent Engine (anteprima) AGENT_ENGINE_EXCESSIVE_FAILED_ATTEMPT Audit log di Cloud: Log attività amministratore Un'identità associata a un agente AI di cui è stato eseguito il deployment in Vertex AI Agent Engine ha attivato ripetutamente errori di autorizzazione negata tentando modifiche in più metodi e servizi. Per impostazione predefinita, i risultati vengono classificati come di gravità Media.
Escalation dei privilegi: generazione token sospetta di Agent Engine (anteprima) AGENT_ENGINE_SUSPICIOUS_TOKEN_GENERATION_IMPLICIT_DELEGATION Audit log di Cloud:
Audit log degli accessi ai dati IAM
 L'autorizzazione iam.serviceAccounts.implicitDelegation è stata utilizzata in modo improprio per generare token di accesso da unaccount di serviziot con più privilegi tramite un motore di agenti Vertex AI. Per impostazione predefinita, i risultati vengono classificati come di gravità Bassa.
Escalation dei privilegi: generazione token sospetta di Agent Engine (anteprima) AGENT_ENGINE_SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_OPENID Audit log di Cloud:
Audit log degli accessi ai dati IAM

L'autorizzazione IAM iam.serviceAccounts.getOpenIdToken è stata utilizzata in tutti i progetti tramite un motore di agenti Vertex AI.

Questo risultato non è disponibile per le attivazioni a livello di progetto. Per impostazione predefinita, i risultati vengono classificati come di gravità Bassa.
Escalation dei privilegi: generazione token sospetta di Agent Engine (anteprima) AGENT_ENGINE_SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_ACCESS_TOKEN Audit log di Cloud:
Audit log degli accessi ai dati IAM

L'autorizzazione IAM iam.serviceAccounts.getAccessToken è stata utilizzata in tutti i progetti tramite un agente AI di cui è stato eseguito il deployment in Vertex AI Agent Engine.

Questo risultato non è disponibile per le attivazioni a livello di progetto. Per impostazione predefinita, i risultati vengono classificati come di gravità Bassa.
Per le regole ritirate e chiuse, consulta Ritiri.

Passaggi successivi