Agent Platform Threat Detection の概要

このドキュメントでは、Agent Platform Threat Detection とその検出機能の概要について説明します。

Agent Platform Threat Detection は、Security Command Center の組み込みサービスです。このサービスは、Agent Runtime ランタイムにデプロイされた AI エージェントに対する潜在的な攻撃を検出して調査するのに役立ちます。Agent Platform Threat Detection サービスで潜在的な攻撃が検出されると、Security Command Center で検出結果が準リアルタイムで生成されます。

Agent Platform Threat Detection は、サポートされている AI エージェントをモニタリングし、最も一般的なランタイムの脅威を検出します。ランタイムの脅威には、悪意のあるバイナリやスクリプトの実行、コンテナ エスケープ、リバースシェル、エージェントの環境内での攻撃ツールの使用などがあります。

また、Event Threat Detection のコントロール プレーン検出機能は、さまざまな監査ログ(Identity and Access Management ログ、BigQuery ログ、Cloud SQL ログなど)と Agent Runtime ログ(stdoutstderr)を分析して、不審なアクティビティを検出します。コントロール プレーンの脅威としては、データ漏洩の試み、過剰な権限拒否、不審なトークンの生成などがあります。

利点

Agent Platform Threat Detection には次の利点があります。

  • AI ワークロードのリスクを事前に軽減します。Agent Platform Threat Detection は、AI エージェントの動作と環境をモニタリングすることで、脅威を早期に検出して対応できるようにします。
  • AI セキュリティを一元的に管理します。Agent Platform Threat Detection の検出結果は、Security Command Center に直接表示されます。脅威の検出結果と他のクラウド セキュリティ リスクを併せて表示して管理する、中央インターフェースが用意されています。

仕組み

Agent Platform Threat Detection は、ホスティングされた AI エージェントからテレメトリーを収集し、ランタイム攻撃を示す可能性のあるプロセス、スクリプト、ライブラリを分析します。Agent Platform Threat Detection が潜在的な脅威を検出すると、次の処理が行われます。

  1. Agent Platform Threat Detection は、エージェント ワークロードの実行中にウォッチャー プロセスを使用してイベント情報を収集します。ウォッチャー プロセスが開始して情報を収集するまでに最大 1 分かかることがあります。

  2. Agent Platform Threat Detection は、収集されたイベント情報を分析して、イベントがインシデントを示すかどうかを判断します。Agent Platform Threat Detection は、自然言語処理(NLP)を使用して、Bash スクリプトと Python スクリプトを分析し、悪意のあるコードを検出します。

    • Agent Platform Threat Detection がインシデントを特定すると、そのインシデントは Security Command Center に検出結果として報告されます。

    • Agent Platform Threat Detection がインシデントを特定しない場合、情報は保存されません。

    • 収集されたデータはすべてメモリ内で処理されます。インシデントと特定されて検出結果として報告されない限り、分析後に保持されることはありません。

Google Cloud コンソールで Agent Platform Threat Detection の検出結果を確認する方法については、検出結果を確認するをご覧ください。

検出機能

このセクションでは、Agent Runtime Runtime にデプロイされた AI エージェントをモニタリングするランタイム検出機能とコントロール プレーン検出機能の一覧を示します。

ランタイム検出機能

Agent Platform Threat Detection には、次のランタイム検出機能が含まれています。

表示名 モジュール名 説明
コマンドと制御: Steganography ツールの検出(プレビュー AGENT_ENGINE_STEGANOGRAPHY_TOOL_DETECTED

steganography ツールとして識別されたプログラムが実行されました。これは、通信やデータ転送を隠蔽しようとしている可能性があることを示しています。

攻撃者は、steganography の手法を利用して、悪意のあるコマンド&コントロール(C2)の指示や引き出したデータを無害に見えるデジタル ファイルに埋め込み、標準のセキュリティ モニタリングと検出を回避しようとした可能性があります。このようなツールの使用を特定することは、隠れた悪意のあるアクティビティを検出するうえで重要です。

認証情報アクセス: Google Cloud 認証情報の検索(プレビュー AGENT_ENGINE_FIND_GCP_CREDENTIALS

コンテナ環境内で Google Cloud 秘密鍵、パスワード、その他の機密性の高い認証情報を検索するコマンドが実行されました。

攻撃者は、盗んだ Google Cloud 認証情報を使用して、標的となった Google Cloud 環境内のセンシティブ データやリソースに不正にアクセスする可能性があります。
認証情報アクセス: GPG キーの偵察(プレビュー AGENT_ENGINE_GPG_KEY_RECONNAISSANCE

GPG セキュリティ キーを検索するコマンドが実行されました。

攻撃者は、盗んだ GPG セキュリティ キーを使用して、暗号化された通信やファイルに不正にアクセスする可能性があります。
認証情報アクセス: 秘密鍵またはパスワードの検索(プレビュー AGENT_ENGINE_SEARCH_PRIVATE_KEYS_OR_PASSWORDS

コンテナ環境内で秘密鍵、パスワード、その他の機密性の高い認証情報を検索するコマンドが実行されました。これは、認証データを収集しようとしている可能性があることを示しています。

攻撃者は、システムへの不正アクセス、権限の昇格、環境内でのラテラル ムーブメントを行うために、認証情報ファイルを検索することがよくあります。このようなアクティビティを検出することは、セキュリティ侵害を防ぐために不可欠です。

防御回避: Base64 ELF ファイルのコマンドライン(プレビュー AGENT_ENGINE_BASE64_ELF_FILE_CMDLINE

ELF(Executable and Linkable Format)ファイルである引数を含むプロセスが実行されました。

エンコードされた ELF ファイルの実行が検出された場合、攻撃者が ASCII 専用のコマンドラインに転送するためにバイナリデータをエンコードしようとしている可能性があります。攻撃者はこの手法を使用して、検出を回避し、ELF ファイルに埋め込まれた悪意のあるコードを実行する可能性があります。
防御回避: Base64 でエンコードされた Python スクリプトの実行(プレビュー AGENT_ENGINE_BASE64_ENCODED_PYTHON_SCRIPT_EXECUTED

Base64 でエンコードされた Python スクリプトである引数を含むプロセスが実行されました。

エンコードされた Python スクリプトの実行が検出された場合、それは攻撃者が ASCII 専用のコマンドラインに転送するためにバイナリデータをエンコードしようとしていることを示すシグナルです。攻撃者はこの手法を使用して、検出を回避し、Python スクリプトに埋め込まれた悪意のあるコードを実行する可能性があります。

防御回避: Base64 でエンコードされたシェル スクリプトの実行(プレビュー AGENT_ENGINE_BASE64_ENCODED_SHELL_SCRIPT_EXECUTED

Base64 でエンコードされたシェル スクリプトである引数を含むプロセスが実行されました。

エンコードされたシェル スクリプトの実行が検出された場合、それは攻撃者が ASCII 専用のコマンドラインに転送するためにバイナリデータをエンコードしようとしていることを示すシグナルです。攻撃者はこの手法を使用して、検出を回避し、シェル スクリプトに埋め込まれた悪意のあるコードを実行する可能性があります。

防御回避: コンテナでのコード コンパイラ ツールの起動(プレビュー AGENT_ENGINE_LAUNCH_CODE_COMPILER_TOOL_IN_CONTAINER

コンテナ環境内でコード コンパイラ ツールを起動するプロセスが開始されました。これは、分離されたコンテキストで実行可能コードをビルドまたは変更しようとしている可能性があることを示しています。

攻撃者は、コンテナ内でコード コンパイラを使用して、悪意のあるペイロードの開発、既存のバイナリへのコード挿入、セキュリティ管理をバイパスするツールの作成を行うことがあります。いずれの場合も、監視の緩い環境で活動することで、ホストシステムでの検出を回避します。

実行: 追加された悪意のあるバイナリが実行された(プレビュー AGENT_ENGINE_ADDED_MALICIOUS_BINARY_EXECUTED

プロセスが、脅威インテリジェンスによって悪意があると判定されたバイナリを実行しました。このバイナリは、元のエージェント ワークロードの一部ではありませんでした。

このイベントは、攻撃者がワークロードを制御し、悪意のあるソフトウェアを実行していることを強く示唆しています。
実行: 追加された悪意のあるライブラリが読み込まれた(プレビュー AGENT_ENGINE_ADDED_MALICIOUS_LIBRARY_LOADED

プロセスが、脅威インテリジェンスによって悪意があると判定されたライブラリを読み込みました。このライブラリは、元のエージェント ワークロードの一部ではありませんでした。

このイベントは、攻撃者がワークロードを制御し、悪意のあるソフトウェアを実行している可能性が高いことを示しています。
実行: 組み込まれた悪意のあるバイナリが実行された(プレビュー AGENT_ENGINE_BUILT_IN_MALICIOUS_BINARY_EXECUTED

プロセスが、脅威インテリジェンスによって悪意があると判定されたバイナリを実行しました。このバイナリは、元のエージェント ワークロードの一部でした。

このイベントは、攻撃者が悪意のあるワークロードをデプロイしていることを示している可能性があります。たとえば、攻撃者が正規のビルド パイプラインの制御権を獲得し、悪意のあるバイナリをエージェント ワークロードに注入している可能性があります。
実行: コンテナ エスケープ(プレビュー AGENT_ENGINE_CONTAINER_ESCAPE

コンテナ内で実行されているプロセスが、既知の脆弱性利用型不正プログラムの手法またはバイナリを使用してコンテナの分離をバイパスしようとしました。これは脅威インテリジェンスによって潜在的な脅威と判定されます。エスケープに成功すると、攻撃者がホストシステムにアクセスして環境全体が侵害される可能性があります。

このアクションは、攻撃者が脆弱性を悪用してホストシステムまたはより広範なインフラストラクチャに不正にアクセスしようとしていることを示しています。
実行: /memfd でのファイルレス実行:(プレビュー AGENT_ENGINE_FILELESS_EXECUTION_DETECTION_MEMFD

インメモリ ファイル記述子を使用してプロセスが実行されました。

インメモリ ファイルから起動されたプロセスは、攻撃者が悪意のあるコードを実行するために他の検出方法をバイパスしようとしていることを示している可能性があります。
実行: Kubernetes 攻撃ツールの実行(プレビュー AGENT_ENGINE_KUBERNETES_ATTACK_TOOL_EXECUTION

プロセスが Kubernetes 専用の攻撃ツールを実行しました。このツールは、脅威インテリジェンスによって潜在的な脅威と判定されます。

このアクションは、攻撃者がクラスタにアクセスし、そのツールを使用して Kubernetes 特有の脆弱性や構成を悪用していることを示唆しています。
実行: ローカル偵察ツールの実行(プレビュー AGENT_ENGINE_LOCAL_RECONNAISSANCE_TOOL_EXECUTION

プロセスが、通常はエージェント ワークロードの一部ではないローカル偵察ツールを実行しました。これらのツールは、脅威インテリジェンスによって潜在的な脅威と判定されます。

このイベントは、攻撃者がインフラストラクチャのマッピング、脆弱性の特定、システム構成に関するデータの収集など、内部システム情報の収集を試みていることを示しています。
実行: 悪意のある Python が実行された(プレビュー AGENT_ENGINE_MALICIOUS_PYTHON_EXECUTED

ML モデルが、実行された Python コードを悪意があるものと判定しました。攻撃者は、Python を使用して、侵害された環境にツールやファイルをダウンロードし、バイナリを使用せずにコマンドを実行できます。

検出機能は、自然言語処理(NLP)を使用して Python コードの内容を分析します。この方法は、署名に基づいていないため、検出機能によって既知および新規の悪意のある Python コードを識別できます。
実行: 変更された悪意のあるバイナリが実行された(プレビュー AGENT_ENGINE_MODIFIED_MALICIOUS_BINARY_EXECUTED

プロセスが、脅威インテリジェンスによって悪意があると判定されたバイナリを実行しました。このバイナリは元のエージェント ワークロードの一部でしたが、実行時に変更されました。

このイベントは、攻撃者がワークロードの制御権を獲得し、悪意のあるソフトウェアを実行している可能性があることを示しています。
実行: 変更された悪意のあるライブラリが読み込まれた(プレビュー AGENT_ENGINE_MODIFIED_MALICIOUS_LIBRARY_LOADED

プロセスが、脅威インテリジェンスによって悪意があると判定されたライブラリを読み込みました。このライブラリは元のエージェント ワークロードの一部でしたが、実行時に変更されました。

このイベントは、攻撃者がワークロードの制御権を獲得し、悪意のあるソフトウェアを実行していることを示しています。
悪意のあるスクリプトの実行(プレビュー AGENT_ENGINE_MALICIOUS_SCRIPT_EXECUTED

ML モデルが、実行された Bash コードを悪意があるものとして識別しました。 攻撃者は、Bash を使用して、侵害した環境にツールやファイルをダウンロードし、バイナリを使用せずにコマンドを実行できます。

検出機能は NLP を使用して、Bash コードの内容を分析します。この方法は、署名に基づいていないため、検出機能によって既知および新規の悪意のある Bash コードを特定できます。
悪意のある URL の観測(プレビュー AGENT_ENGINE_MALICIOUS_URL_OBSERVED

Agent Platform Threat Detection が、実行中のプロセスの引数リストで悪意のある URL を検出しました。

検出機能により、Google のセーフ ブラウジング サービスによって管理されている安全でないウェブリソースのリストと、これらの URL が照合されます。Google が URL を誤ってフィッシング サイトまたはマルウェアに分類していると思われる場合は、不正確なデータの報告で問題を報告してください。
リバースシェル(プレビュー AGENT_ENGINE_REVERSE_SHELL

リモート接続ソケットへのストリーム リダイレクトで始まるプロセス。この検出機能は、リモート ソケットにバインドされている stdin のように機能します。

リバースシェルを使用すると、攻撃者は侵害したワークロードから攻撃者が制御するマシンに通信できます。攻撃者は、たとえばボットネットの一部として、ワークロードのコマンドと制御を行うことができます。
予期しない子シェル(プレビュー AGENT_ENGINE_UNEXPECTED_CHILD_SHELL

通常はシェルを起動しないプロセスが、予期せずシェルプロセスを生成しました。

検出機能はプロセス実行をモニタリングし、既知の親プロセスが予期せずシェルを生成したときの検出結果を生成します。
実行: コンテナでの Netcat リモートコード実行(プレビュー AGENT_ENGINE_NETCAT_REMOTE_CODE_EXECUTION_IN_CONTAINER

コンテナ環境内で汎用性の高いネットワーク ユーティリティである Netcat が実行されました。これは、不正なリモート アクセスの確立またはデータの引き出しを行おうとしていることを示している可能性があります。

コンテナ化された環境で Netcat が使用されている場合、攻撃者がリバースシェルの作成、ラテラル ムーブメントの実現、任意のコマンドの実行を試みている可能性があります。これにより、システムの完全性が損なわれる可能性があります。
実行: CUPS を介した任意のコマンド実行の可能性(CVE-2024-47177)(プレビュー AGENT_ENGINE_POSSIBLE_ARBITRARY_COMMAND_EXECUTION_THROUGH_CUPS

このルールは、一般的なシェル プログラムを実行している foomatic-rip プロセスを検出します。これは、攻撃者が CVE-2024-47177 を悪用したことを示している可能性があります。foomatic-rip は、多くの Linux ディストリビューションに含まれているオープンソースの印刷サービスである OpenPrinting CUPS の一部です。大部分のコンテナ イメージでは、この印刷サービスが無効になっているか、削除されています。この検出結果が存在する場合は、それが意図した動作であるかどうかを評価するか、このサービスを直ちに無効にしてください。

実行: リモート コマンド実行の可能性の検出(プレビュー AGENT_ENGINE_POSSIBLE_REMOTE_COMMAND_EXECUTION_DETECTED

ネットワーク ソケット接続を介して一般的な UNIX コマンドを生成するプロセスが検出されました。これは、不正なリモート コマンド実行機能を確立しようとしている可能性があることを示しています。

攻撃者は、侵害したシステムをインタラクティブに制御し、任意のコマンドをリモートで実行して、ファイアウォール制限などの標準的なネットワーク セキュリティ対策をバイパスするために、リバースシェルを模倣した手法を利用することがよくあります。ソケット経由のコマンド実行の検出は、悪意のあるリモート アクセスを示す強力なサインです。

実行: 許可されていない HTTP プロキシ環境でのプログラムの実行(プレビュー AGENT_ENGINE_PROGRAM_RUN_WITH_DISALLOWED_HTTP_PROXY_ENV

許可されていない HTTP プロキシ環境変数を使用したプログラムが実行されました。これは、セキュリティ管理のバイパス、悪意のある目的でのトラフィックのリダイレクト、不正なチャネルを介したデータの引き出しを行おうとしていることを示している可能性があります。

攻撃者は、許可されていない HTTP プロキシを構成して、機密情報の傍受、悪意のあるサーバーを介したトラフィックの転送、秘密の通信チャネルの確立を行う可能性があります。これらの環境変数を使用したプログラムの実行を検出することは、ネットワーク セキュリティを維持し、データ侵害を防ぐために不可欠です。

実行: 検出された Socat リバースシェル(プレビュー AGENT_ENGINE_SOCAT_REVERSE_SHELL_DETECTED

リバースシェルを作成する socat コマンドが使用されました。

このルールは、stdin、stdout、stderr ファイル記述子をリダイレクトしてリバースシェルを作成する socat の実行を検出します。これは、攻撃者が侵害したシステムにリモート アクセスするために使用する一般的な手法です。

実行: 不審な OpenSSL 共有オブジェクトの読み込み(プレビュー AGENT_ENGINE_SUSPICIOUS_OPENSSL_SHARED_OBJECT_LOADED

OpenSSL が実行され、カスタム共有オブジェクトが読み込まれました。

攻撃者は、悪意のあるコードを実行するために、カスタム ライブラリを読み込み、OpenSSL が使用する既存のライブラリを置き換える可能性があります。本番環境での使用は一般的ではないため、直ちに調査する必要があります。

データの引き出し: コンテナでのリモート ファイル コピー ツールの起動(プレビュー AGENT_ENGINE_LAUNCH_REMOTE_FILE_COPY_TOOLS_IN_CONTAINER

コンテナ内でリモート ファイルコピー ツールの実行が検出されました。これは、データの引き出し、ラテラル ムーブメント、悪意のあるペイロードのデプロイの可能性があることを示しています。

攻撃者は、コンテナ外への機密データの転送、他のシステムを侵害するためのネットワーク内でのラテラル ムーブメント、さらなる悪意のあるアクティビティを実行するマルウェアの導入を行うために、これらのツールを使用することがよくあります。 リモート ファイルコピー ツールの使用を検出することは、データ侵害、不正アクセス、コンテナとホストシステムのさらなる侵害を防ぐために不可欠です。

影響: 悪意のあるコマンドラインの検出(プレビュー AGENT_ENGINE_DETECT_MALICIOUS_CMDLINES

重要なシステム ファイルの削除やパスワード関連の構成の変更など、破壊的な影響の可能性があることがわかっている引数を使用したコマンドが実行されました。

攻撃者は、システムを不安定な状態にする、重要なファイルを削除して復元を妨害する、ユーザー認証情報を操作して不正アクセスを可能にするといった目的で、悪意のあるコマンドラインを発行する可能性があります。これらの特定のコマンド パターンを検出することは、システムへの重大な影響を防ぐために不可欠です。

影響: ディスクからの大量のデータの削除(プレビュー AGENT_ENGINE_REMOVE_BULK_DATA_FROM_DISK

一括データ削除オペレーションを実行しているプロセスが検出されました。これは、コンテナ環境内で証拠の消去、サービスの妨害、データ消去攻撃の実行を行おうとしていることを示している可能性があります。

攻撃者は、痕跡の隠蔽、オペレーションの妨害、ランサムウェアをデプロイする準備を行うために、大量のデータを削除する可能性があります。このようなアクティビティを検出することで、重要なデータ損失が発生する前に潜在的な脅威を特定できます。

影響: Stratum プロトコルを使用した不審な暗号通貨マイニング アクティビティ(プレビュー AGENT_ENGINE_DETECT_CRYPTO_MINERS_USING_STRATUM_PROTOCOL

暗号通貨マイニング ソフトウェアで一般的に使用される Stratum プロトコルを介して通信するプロセスが検出されました。このアクティビティは、コンテナ環境内で不正なマイニング オペレーションが行われている可能性があることを示しています。

攻撃者は、金銭的な利益を得るためにシステム リソースを悪用する暗号通貨マイナーをデプロイすることがよくあります。これにより、パフォーマンスの低下、運用コストの増加、セキュリティ リスクの可能性が生じます。このようなアクティビティを検出することで、リソースの不正使用や不正アクセスを軽減できます。

権限昇格: 権限昇格のための Sudo の不正使用(CVE-2019-14287)(プレビュー AGENT_ENGINE_ABUSE_SUDO_FOR_PRIVILEGE_ESCALATION

権限の昇格を試みる引数を使用して sudo が実行されました。

この検出は、sudo コマンドの不正使用による権限昇格を可能にする CVE-2019-14287 を悪用しようとしたことを示しています。v1.8.28 より前のバージョンの sudo には、root 以外のユーザーが root 権限を取得できるセキュリティ上の脆弱性を利用した不正プログラムがありました。
権限昇格: Polkit のローカル権限昇格の脆弱性(CVE-2021-4034)(プレビュー AGENT_ENGINE_POLKIT_LOCAL_PRIVILEGE_ESCALATION_VULNERABILITY

root 以外のユーザーが、権限昇格を試みる環境変数を使用して pkexec を実行しました。

このルールは、Polkit の pkexec で権限昇格の脆弱性(CVE-2021-4034)を悪用しようとする試みを検出します。root 以外のユーザーは、特別に細工されたコードを実行することで、この脆弱性を利用して、侵害したシステムで root 権限を取得する可能性があります。

権限昇格: Sudo による権限昇格の可能性(CVE-2021-3156)(プレビュー AGENT_ENGINE_SUDO_POTENTIAL_PRIVILEGE_ESCALATION

root 以外のユーザーが、権限昇格を試みる引数のパターンを使用して sudo または sudoedit を実行しました。

sudo バージョン 1.9.5p2 以前に影響する脆弱性を悪用しようとする試みを検出します。権限のないユーザーが、特定の引数(単一のバックスラッシュ文字で終わる引数など)を使用して sudo または sudoedit を実行すると、ユーザーの権限が root ユーザーの権限に昇格する可能性があります。

コントロールプレーン検出機能

このセクションでは、Agent Runtime Runtime にデプロイされた AI エージェント向けに特別に設計された Event Threat Detection のコントロール プレーン検出機能について説明します。Event Threat Detection には、一般的な AI 関連の脅威の検出機能もあります。

これらのコントロールプレーン検出機能はデフォルトで有効になっています。これらの検出機能は、他の Event Threat Detection 検出機能と同じ方法で管理します。詳細については、Event Threat Detection を使用するをご覧ください。

表示名 API 名 ログソースのタイプ 説明
検出: AI エージェントからのポートスキャンの証拠(プレビュー AGENT_ENGINE_PORT_SCANNING_EVIDENCE Agent Engine ログ:
Agent Engine ログ 		AI エージェントが水平方向または垂直方向のポート スキャン動作を示した。検出結果は、デフォルトで重大度「」に分類されます。
検出: AI エージェントによる未承認のサービス アカウント API 呼び出し(プレビュー AGENT_ENGINE_UNAUTHORIZED_SERVICE_ACCOUNT_API_CALL Cloud Audit Logs:
管理アクティビティ監査ログ 		サービス アカウントが AI エージェントを介して外部プロジェクトに未承認の API 呼び出しを行いました。この動作は、不正なユーザーが AI エージェントを介してリソースの詳細を取得したり、サービスを有効または無効にしたり、その他の不正な操作を実行しようとしていることを示している可能性があります。検出結果は、デフォルトで重大度「」に分類されます。
検出: AI エージェントによるサービス アカウントの自己調査(プレビュー AGENT_ENGINE_IAM_ANOMALOUS_BEHAVIOR_SERVICE_ACCOUNT_GETS_OWN_IAM_POLICY Cloud Audit Logs:
IAM データアクセス監査ログ
権限:
DATA_READ

AI エージェントに関連付けられた ID が、同じサービス アカウントに関連付けられたロールと権限の調査に使用されました。リクエストが承認された場合は重大度「」、リクエストが承認されなかった場合は重大度「」に分類されます。
認証情報アクセス: AI エージェントによるメタデータ サービスへの異常なアクセス(プレビュー AGENT_ENGINE_ANOMALOUS_ACCESS_TO_METADATA_SERVICE Agent Engine ログ:
Agent Engine ログ 		AI エージェントがメタデータ サーバーからサービス アカウント トークンを取得しました。検出結果は、デフォルトで重大度「」に分類されます。
データ漏洩: AI エージェントが BigQuery VPC 境界の違反を開始しました(プレビュー AGENT_ENGINE_BIG_QUERY_EXFIL_VPC_PERIMETER_VIOLATION
 Cloud Audit Logs: BigQueryAuditMetadata データアクセス ログ 権限:
DATA_READ

AI エージェントが VPC Service Controls で保護されている BigQuery リソースにアクセスしようとしたことを検出します。検出結果は、デフォルトで重大度「」に分類されます。
データ漏洩: AI エージェントによる外部テーブルへの BigQuery データの引き出し(プレビュー AGENT_ENGINE_BIG_QUERY_EXFIL_TO_EXTERNAL_TABLE
 Cloud Audit Logs: BigQueryAuditMetadata データアクセス ログ 権限:
DATA_READ

コピー オペレーションや転送オペレーションを含む、保護された組織が所有するリソースが AI エージェントによって組織外に保存された場合に、それを検出します。検出結果は、デフォルトで重大度「」に分類されます。
データ漏洩: AI エージェントが公開バケットへの CloudSQL データの引き出しを開始しました(プレビュー AGENT_ENGINE_CLOUDSQL_EXFIL_EXPORT_TO_PUBLIC_GCS
 Cloud Audit Logs: MySQL データアクセス ログ
PostgreSQL データアクセス ログ
SQL Server データアクセス ログ

AI エージェントが、組織が所有する一般公開の Cloud Storage バケットにライブ インスタンス データをエクスポートしたときに検出します。

Security Command Center のプレミアム ティアをプロジェクト レベルで有効にする場合、この検出結果を得ることができるのは、親の組織でスタンダード レガシー ティアが有効になっている場合のみです。検出結果は、デフォルトで重大度「」に分類されます。
データ漏洩: AI エージェントが外部バケットへの CloudSQL データの引き出しを開始しました(プレビュー AGENT_ENGINE_CLOUDSQL_EXFIL_EXPORT_TO_EXTERNAL_GCS Cloud Audit Logs: MySQL データアクセス ログ
PostgreSQL データアクセス ログ
SQL Server データアクセス ログ

AI エージェントによってライブ インスタンス データが組織外の Cloud Storage バケットにエクスポートされたことを検出します。

Security Command Center のプレミアム ティアをプロジェクト レベルで有効にする場合、この検出結果を得ることができるのは、親の組織でスタンダード レガシー ティアが有効になっている場合のみです。検出結果は、デフォルトで重大度「」に分類されます。
データ漏洩: AI エージェントによる BigQuery データ抽出(プレビュー AGENT_ENGINE_BIG_QUERY_EXFIL_TO_CLOUD_STORAGE Cloud Audit Logs: BigQueryAuditMetadata データアクセス ログ 権限:
DATA_READ

AI エージェントによって開始された BigQuery データ抽出の次のシナリオを検出します。

  • 保護されている組織が所有する BigQuery リソースが、抽出オペレーションによって組織外の Cloud Storage バケットに保存されました。
  • 保護されている組織が所有する BigQuery リソースが、抽出オペレーションによって、その組織が所有する一般公開の Cloud Storage バケットに保存されました。

Security Command Center のプレミアム ティアをプロジェクト レベルで有効にする場合、この検出結果を得ることができるのは、親の組織でスタンダード レガシー ティアが有効になっている場合のみです。検出結果は、デフォルトで重大度「」に分類されます。
初期アクセス: AI エージェント ID の過剰な権限の拒否アクション(プレビュー AGENT_ENGINE_EXCESSIVE_FAILED_ATTEMPT Cloud Audit Logs: 管理アクティビティ ログ AI エージェントに関連付けられた ID が、複数のメソッドとサービス間で変更を試みたことで、権限拒否エラーを繰り返しトリガーしました。検出結果は、デフォルトで重大度「」に分類されます。
権限昇格: AI エージェントによる signJwt を使用した不審なトークンの生成(プレビュー AGENT_ENGINE_SUSPICIOUS_TOKEN_GENERATION_SIGN_JWT Cloud Audit Logs:
IAM データアクセス監査ログ

AI エージェントに関連付けられたサービス アカウントが、 serviceAccounts.signJwt メソッドを使用して別のサービス アカウントのアクセス トークンを生成しました。

検出結果は、デフォルトで重大度「」に分類されます。
権限昇格: AI エージェントによる暗黙的な委任を使用した不審なトークンの生成(プレビュー AGENT_ENGINE_SUSPICIOUS_TOKEN_GENERATION_IMPLICIT_DELEGATION Cloud Audit Logs:
IAM データアクセス監査ログ
 iam.serviceAccounts.implicitDelegation 権限が不正使用され、AI エージェントを介してより高い権限を持つサービス アカウントからアクセス トークンが生成されました。検出結果は、デフォルトで重大度「」に分類されます。
権限昇格: AI エージェントによる不審なクロス プロジェクト OpenID トークンの生成(プレビュー AGENT_ENGINE_SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_OPENID Cloud Audit Logs:
IAM データアクセス監査ログ

iam.serviceAccounts.getOpenIdToken IAM 権限が AI エージェントを介してプロジェクト間で使用されました。

プロジェクト レベルで有効にしている場合、この検出結果は利用できません。 検出結果は、デフォルトで重大度「」に分類されます。
権限昇格: AI エージェントによる不審なクロス プロジェクト アクセス トークンの生成(プレビュー AGENT_ENGINE_SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_ACCESS_TOKEN Cloud Audit Logs:
IAM データアクセス監査ログ

iam.serviceAccounts.getAccessToken IAM 権限が AI エージェントを介してプロジェクト間で使用されました。

プロジェクト レベルで有効にしている場合、この検出結果は利用できません。 検出結果は、デフォルトで重大度「」に分類されます。
非推奨のルールとシャットダウンされたルールについては、非推奨をご覧ください。

次のステップ