このドキュメントでは、Agent Engine Threat Detection とその検出機能について説明します。
Agent Engine Threat Detection は、Security Command Center の組み込みサービスです。このサービスは、Vertex AI Agent Engine ランタイムにデプロイされた AI エージェントに対する潜在的な攻撃を検出して調査するのに役立ちます。Agent Engine Threat Detection サービスで潜在的な攻撃が検出されると、Security Command Center で検出結果が準リアルタイムで生成されます。
Agent Engine Threat Detection は、サポートされている AI エージェントをモニタリングし、最も一般的なランタイムの脅威を検出します。ランタイムの脅威には、悪意のあるバイナリやスクリプトの実行、コンテナ エスケープ、リバースシェル、エージェントの環境内での攻撃ツールの使用などがあります。
また、Event Threat Detection のコントロール プレーン検出機能は、さまざまな監査ログ(Identity and Access Management ログ、BigQuery ログ、Cloud SQL ログなど)と Vertex AI Agent Engine ログ(stdout と stderr)を分析して、不審なアクティビティを検出します。コントロール プレーンの脅威としては、データ漏洩の試み、過剰な権限拒否、不審なトークンの生成などがあります。
利点
Agent Engine Threat Detection には次の利点があります。
- AI ワークロードのリスクを事前に軽減します。Agent Engine Threat Detection は、AI エージェントの動作と環境をモニタリングすることで、脅威を早期に検出して対応できるようにします。
- AI セキュリティを一元的に管理します。Agent Engine Threat Detection の検出結果は、Security Command Center に直接表示されます。脅威の検出結果と他のクラウド セキュリティ リスクを併せて表示して管理する、中央インターフェースが用意されています。
仕組み
Agent Engine Threat Detection は、ホスティングされた AI エージェントからテレメトリーを収集し、ランタイム攻撃を示す可能性のあるプロセス、スクリプト、ライブラリを分析します。Agent Engine Threat Detection が潜在的な脅威を検出すると、次の処理が行われます。
Agent Engine Threat Detection は、エージェント ワークロードの実行中にウォッチャー プロセスを使用してイベント情報を収集します。ウォッチャー プロセスが開始して情報を収集するまでに最大 1 分かかることがあります。
Agent Engine Threat Detection は、収集されたイベント情報を分析して、イベントがインシデントを示すかどうかを判断します。Agent Engine Threat Detection は、自然言語処理(NLP)を使用して、Bash スクリプトと Python スクリプトを分析し、悪意のあるコードを検出します。
Agent Engine Threat Detection がインシデントを特定すると、そのインシデントは Security Command Center に検出結果として報告されます。
Agent Engine Threat Detection がインシデントを特定しない場合、情報は保存されません。
収集されたデータはすべてメモリ内で処理されます。インシデントと特定されて検出結果として報告されない限り、分析後に保持されることはありません。
Google Cloud コンソールで Agent Engine Threat Detection の検出結果を確認する方法については、検出結果を確認するをご覧ください。
検出機能
このセクションでは、Vertex AI Agent Engine Runtime にデプロイされた AI エージェントをモニタリングするランタイム検出機能とコントロール プレーン検出機能の一覧を示します。
ランタイム検出機能
Agent Engine Threat Detection には、以下のランタイム検出機能が組み込まれています。
| 表示名 | モジュール名 | 説明 |
|---|---|---|
| 実行: 追加された悪意のあるバイナリが実行された(プレビュー) | AGENT_ENGINE_ADDED_MALICIOUS_BINARY_EXECUTED |
プロセスが、脅威インテリジェンスによって悪意があると判定されたバイナリを実行しました。このバイナリは、元のエージェント ワークロードの一部ではありませんでした。 このイベントは、攻撃者がワークロードを制御し、悪意のあるソフトウェアを実行していることを強く示唆しています。 |
| 実行: 追加された悪意のあるライブラリが読み込まれた(プレビュー) | AGENT_ENGINE_ADDED_MALICIOUS_LIBRARY_LOADED |
プロセスが、脅威インテリジェンスによって悪意があると判定されたライブラリを読み込みました。このライブラリは、元のエージェント ワークロードの一部ではありませんでした。 このイベントは、攻撃者がワークロードを制御し、悪意のあるソフトウェアを実行している可能性が高いことを示しています。 |
| 実行: 組み込まれた悪意のあるバイナリが実行された(プレビュー) | AGENT_ENGINE_BUILT_IN_MALICIOUS_BINARY_EXECUTED |
プロセスが、脅威インテリジェンスによって悪意があると判定されたバイナリを実行しました。このバイナリは、元のエージェント ワークロードの一部でした。 このイベントは、攻撃者が悪意のあるワークロードをデプロイしていることを示している可能性があります。たとえば、攻撃者が正規のビルド パイプラインの制御権を獲得し、悪意のあるバイナリをエージェント ワークロードに注入している可能性があります。 |
| 実行: コンテナ エスケープ(プレビュー) | AGENT_ENGINE_CONTAINER_ESCAPE |
コンテナ内で実行されているプロセスが、既知の脆弱性利用型不正プログラムの手法またはバイナリを使用してコンテナの分離をバイパスしようとしました。これは脅威インテリジェンスによって潜在的な脅威と判定されます。エスケープに成功すると、攻撃者がホストシステムにアクセスして環境全体が侵害される可能性があります。 このアクションは、攻撃者が脆弱性を悪用してホストシステムまたはより広範なインフラストラクチャに不正にアクセスしようとしていることを示しています。 |
| 実行: Kubernetes 攻撃ツールの実行(プレビュー) | AGENT_ENGINE_KUBERNETES_ATTACK_TOOL_EXECUTION |
プロセスが Kubernetes 専用の攻撃ツールを実行しました。このツールは、脅威インテリジェンスによって潜在的な脅威と判定されます。 このアクションは、攻撃者がクラスタにアクセスし、そのツールを使用して Kubernetes 特有の脆弱性や構成を悪用していることを示唆しています。 |
| 実行: ローカル偵察ツールの実行(プレビュー) | AGENT_ENGINE_LOCAL_RECONNAISSANCE_TOOL_EXECUTION |
プロセスが、通常はエージェント ワークロードの一部ではないローカル偵察ツールを実行しました。これらのツールは、脅威インテリジェンスによって潜在的な脅威と判定されます。 このイベントは、攻撃者がインフラストラクチャのマッピング、脆弱性の特定、システム構成に関するデータの収集など、内部システム情報の収集を試みていることを示しています。 |
| 実行: 悪意のある Python が実行された(プレビュー) | AGENT_ENGINE_MALICIOUS_PYTHON_EXECUTED |
ML モデルが、実行された Python コードを悪意があるものと判定しました。攻撃者は、Python を使用して、侵害された環境にツールやファイルをダウンロードし、バイナリを使用せずにコマンドを実行できます。 検出機能は、自然言語処理(NLP)を使用して Python コードの内容を分析します。この方法は、署名に基づいていないため、検出機能によって既知および新規の悪意のある Python コードを識別できます。 |
| 実行: 変更された悪意のあるバイナリが実行された(プレビュー) | AGENT_ENGINE_MODIFIED_MALICIOUS_BINARY_EXECUTED |
プロセスが、脅威インテリジェンスによって悪意があると判定されたバイナリを実行しました。このバイナリは元のエージェント ワークロードの一部でしたが、実行時に変更されました。 このイベントは、攻撃者がワークロードの制御権を獲得し、悪意のあるソフトウェアを実行している可能性があることを示しています。 |
| 実行: 変更された悪意のあるライブラリが読み込まれた(プレビュー) | AGENT_ENGINE_MODIFIED_MALICIOUS_LIBRARY_LOADED |
プロセスが、脅威インテリジェンスによって悪意があると判定されたライブラリを読み込みました。このライブラリは元のエージェント ワークロードの一部でしたが、実行時に変更されました。 このイベントは、攻撃者がワークロードの制御権を獲得し、悪意のあるソフトウェアを実行していることを示しています。 |
| 悪意のあるスクリプトの実行(プレビュー) | AGENT_ENGINE_MALICIOUS_SCRIPT_EXECUTED |
ML モデルが、実行された Bash コードを悪意があるものとして識別しました。 攻撃者は、Bash を使用して、侵害した環境にツールやファイルをダウンロードし、バイナリを使用せずにコマンドを実行できます。 検出機能は NLP を使用して、Bash コードの内容を分析します。この方法は、署名に基づいていないため、検出機能によって既知および新規の悪意のある Bash コードを特定できます。 |
| 悪意のある URL の観測(プレビュー) | AGENT_ENGINE_MALICIOUS_URL_OBSERVED |
Agent Engine Threat Detection が、実行中のプロセスの引数リストで悪意のある URL を検出しました。 検出機能により、Google のセーフ ブラウジング サービスによって管理されている安全でないウェブリソースのリストと、これらの URL が照合されます。Google が URL を誤ってフィッシング サイトまたはマルウェアに分類していると思われる場合は、不正確なデータの報告で問題を報告してください。 |
| リバースシェル(プレビュー) | AGENT_ENGINE_REVERSE_SHELL |
リモート接続ソケットへのストリーム リダイレクトで始まるプロセス。この検出機能は、リモート ソケットにバインドされている リバースシェルを使用すると、攻撃者は侵害したワークロードから攻撃者が制御するマシンに通信できます。攻撃者は、たとえばボットネットの一部として、ワークロードのコマンドと制御を行うことができます。 |
| 予期しない子シェル(プレビュー) | AGENT_ENGINE_UNEXPECTED_CHILD_SHELL |
通常はシェルを起動しないプロセスが、予期せずシェルプロセスを生成しました。 検出機能はプロセス実行をモニタリングし、既知の親プロセスが予期せずシェルを生成したときの検出結果を生成します。 |
コントロールプレーン検出機能
このセクションでは、Vertex AI Agent Engine Runtime にデプロイされた AI エージェント向けに特別に設計された Event Threat Detection のコントロールプレーン検出機能について説明します。Event Threat Detection には、一般的な AI 関連の脅威の検出機能もあります。
これらのコントロールプレーン検出機能はデフォルトで有効になっています。これらの検出機能は、他の Event Threat Detection 検出機能と同じ方法で管理します。詳細については、Event Threat Detection を使用するをご覧ください。
| 表示名 | API 名 | ログソースのタイプ | 説明 |
|---|---|---|---|
| 検出: Agent Engine サービス アカウントの自己調査(プレビュー) | AGENT_ENGINE_IAM_ANOMALOUS_BEHAVIOR_SERVICE_ACCOUNT_GETS_OWN_IAM_POLICY |
Cloud Audit Logs: IAM データアクセス監査ログ 権限: DATA_READ
|
Vertex AI Agent Engine にデプロイされた AI エージェントに関連付けられた ID が、同じサービス アカウントに関連付けられたロールと権限の調査に使用されました。 機密性の高いロール 検出結果は、付与されたロールの機密性に応じて、「高」または「中」の重大度に分類されます。詳細については、機密性の高い IAM のロールと権限をご覧ください。 |
| データ漏洩: Agent Engine による BigQuery データの漏洩(プレビュー) |
AGENT_ENGINE_BIG_QUERY_EXFIL_VPC_PERIMETER_VIOLATIONAGENT_ENGINE_BIG_QUERY_EXFIL_TO_EXTERNAL_TABLE
|
Cloud Audit Logs: BigQueryAuditMetadata データアクセス ログ
権限:DATA_READ |
Vertex AI Agent Engine にデプロイされたエージェントによって開始された BigQuery データ漏洩の次のシナリオを検出します。
|
| データ漏洩: Agent Engine による CloudSQL データの漏洩(プレビュー) |
AGENT_ENGINE_CLOUDSQL_EXFIL_EXPORT_TO_PUBLIC_GCSAGENT_ENGINE_CLOUDSQL_EXFIL_EXPORT_TO_EXTERNAL_GCS
|
Cloud Audit Logs: MySQL データアクセス ログ PostgreSQL データアクセス ログ SQL Server データアクセス ログ |
Vertex AI Agent Engine にデプロイされたエージェントによって開始された Cloud SQL データ漏洩の次のシナリオを検出します。
Security Command Center のプレミアム ティアをプロジェクト レベルで有効にする場合、この検出結果を得ることができるのは、親の組織でスタンダード ティアが有効になっている場合のみです。検出結果は、デフォルトで重大度「高」に分類されます。 |
| データ漏洩: Agent Engine による BigQuery データ抽出(プレビュー) | AGENT_ENGINE_BIG_QUERY_EXFIL_TO_CLOUD_STORAGE |
Cloud Audit Logs: BigQueryAuditMetadata データアクセス ログ
権限:DATA_READ |
Vertex AI Agent Engine にデプロイされたエージェントによって開始された BigQuery データ抽出の次のシナリオを検出します。
Security Command Center のプレミアム ティアをプロジェクト レベルで有効にする場合、この検出結果を得ることができるのは、親の組織でスタンダード ティアが有効になっている場合のみです。検出結果は、デフォルトで重大度「低」に分類されます。 |
| 初期アクセス: Agent Engine ID の過剰な権限の拒否アクション(プレビュー) | AGENT_ENGINE_EXCESSIVE_FAILED_ATTEMPT |
Cloud Audit Logs: 管理アクティビティ ログ | Vertex AI Agent Engine にデプロイされた AI エージェントに関連付けられた ID が、複数のメソッドとサービス間で変更を試みたことで、権限拒否エラーを繰り返しトリガーしました。検出結果は、デフォルトで重大度「中」に分類されます。 |
| 権限昇格: Agent Engine による不審なトークンの生成(プレビュー) | AGENT_ENGINE_SUSPICIOUS_TOKEN_GENERATION_IMPLICIT_DELEGATION |
Cloud Audit Logs: IAM データアクセス監査ログ |
iam.serviceAccounts.implicitDelegation 権限が不正使用され、Vertex AI Agent Engine を介してより高い権限を持つサービス アカウントからアクセス トークンが生成されました。検出結果は、デフォルトで重大度「低」に分類されます。 |
| 権限昇格: Agent Engine による不審なトークンの生成(プレビュー) | AGENT_ENGINE_SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_OPENID |
Cloud Audit Logs: IAM データアクセス監査ログ |
プロジェクト レベルで有効にしている場合、この検出結果は利用できません。検出結果は、デフォルトで重大度「低」に分類されます。 |
| 権限昇格: Agent Engine による不審なトークンの生成(プレビュー) | AGENT_ENGINE_SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_ACCESS_TOKEN |
Cloud Audit Logs: IAM データアクセス監査ログ |
Vertex AI Agent Engine にデプロイされた AI エージェントを介して、 プロジェクト レベルで有効にしている場合、この検出結果は利用できません。検出結果は、デフォルトで重大度「低」に分類されます。 |
次のステップ
- Agent Engine Threat Detection を使用する方法を学習する。
- Event Threat Detection を使用する方法を学習する。
- 脅威の検出結果のインデックスを参照する。