Este documento descreve a Deteção de ameaças do motor do agente e os respetivos detetores.
A Deteção de ameaças do Agent Engine é um serviço integrado do Security Command Center que ajuda a detetar e investigar potenciais ataques a agentes de IA implementados no tempo de execução do Vertex AI Agent Engine. Se o serviço de deteção de ameaças do motor do agente detetar um potencial ataque, o serviço gera uma descoberta no Security Command Center em tempo quase real.
A deteção de ameaças do Agent Engine monitoriza os agentes de IA suportados e deteta as ameaças de tempo de execução mais comuns. As ameaças de tempo de execução incluem a execução de binários ou scripts maliciosos, fugas de contentores, shells inversas e a utilização de ferramentas de ataque no ambiente do agente.
Além disso, os detetores do plano de controlo da
Event Threat Detection
analisam vários registos de auditoria (incluindo
registos do Identity and Access Management, do BigQuery e do Cloud SQL) e
registos do Vertex AI Agent Engine (stdout e stderr) para
detetar atividades suspeitas. As ameaças ao plano de controlo incluem tentativas de exfiltração de dados, recusas excessivas de autorizações e geração de tokens suspeita.
Vantagens
A Deteção de ameaças do motor de agentes oferece as seguintes vantagens:
- Reduza proativamente o risco para cargas de trabalho de IA. A Deteção de ameaças do Agent Engine ajuda a detetar e responder a ameaças antecipadamente através da monitorização do comportamento e do ambiente dos seus agentes de IA
- Faça a gestão da segurança da IA num local unificado. As conclusões da deteção de ameaças do Agent Engine são apresentadas diretamente no Security Command Center. Tem uma interface central para ver e gerir as deteções de ameaças juntamente com outros riscos de segurança na nuvem.
Como funciona
A Deteção de ameaças do Agent Engine recolhe telemetria dos agentes de IA alojados para analisar processos, scripts e bibliotecas que possam indicar um ataque de tempo de execução. Quando a Deteção de ameaças do motor do agente deteta uma potencial ameaça, faz o seguinte:
A Deteção de ameaças do motor do agente usa um processo de monitorização para recolher informações de eventos enquanto a carga de trabalho do agente está em execução. O processo de monitorização pode demorar até um minuto a iniciar e recolher informações.
A Deteção de ameaças do motor de agentes analisa as informações de eventos recolhidas para determinar se um evento indica um incidente. A Deteção de ameaças do Agent Engine usa o processamento de linguagem natural (PLN) para analisar scripts Bash e Python em busca de código malicioso.
Se a Deteção de ameaças do motor do agente identificar um incidente, comunica-o como uma descoberta no Security Command Center.
Se a Deteção de ameaças do motor do agente não identificar um incidente, não armazena nenhuma informação.
Todos os dados recolhidos são processados na memória e não persistem após a análise, a menos que sejam identificados como um incidente e comunicados como uma descoberta.
Para obter informações sobre como rever as descobertas da deteção de ameaças do motor de agentes na Google Cloud consola, consulte o artigo Rever descobertas.
Detetores
Esta secção lista os detetores de tempo de execução e plano de controlo que monitorizam os agentes de IA implementados no tempo de execução do Vertex AI Agent Engine.
Detetores de tempo de execução
A Deteção de ameaças do motor do agente inclui os seguintes detetores de tempo de execução:
| Nome a apresentar | Nome do módulo | Descrição |
|---|---|---|
| Execução: binário malicioso executado adicionado (pré-visualização) | AGENT_ENGINE_ADDED_MALICIOUS_BINARY_EXECUTED |
Um processo executou um ficheiro binário que a inteligência contra ameaças identifica como malicioso. Este ficheiro binário não fazia parte da carga de trabalho agente original. Este evento sugere fortemente que um atacante tem controlo da carga de trabalho e está a executar software malicioso. |
| Execução: Added Malicious Library Loaded (Preview) | AGENT_ENGINE_ADDED_MALICIOUS_LIBRARY_LOADED |
Um processo carregou uma biblioteca que a inteligência contra ameaças identifica como maliciosa. Esta biblioteca não fazia parte da carga de trabalho original do agente. Este evento sugere que um atacante tem provavelmente o controlo da carga de trabalho e está a executar software malicioso. |
| Execução: binário malicioso incorporado executado (pré-visualização) | AGENT_ENGINE_BUILT_IN_MALICIOUS_BINARY_EXECUTED |
Um processo executou um ficheiro binário que a inteligência contra ameaças identifica como malicioso. Este ficheiro binário fazia parte da carga de trabalho original do agente. Este evento pode sugerir que um atacante está a implementar uma carga de trabalho maliciosa. Por exemplo, o ator pode ter obtido o controlo de um pipeline de compilação legítimo e injetado o binário malicioso na carga de trabalho do agente. |
| Execução: fuga do contentor (pré-visualização) | AGENT_ENGINE_CONTAINER_ESCAPE |
Um processo em execução no contentor tentou contornar o isolamento do contentor através de técnicas ou ficheiros binários de exploração conhecidos, que a inteligência contra ameaças identifica como potenciais ameaças. Uma fuga bem-sucedida pode permitir que um atacante aceda ao sistema anfitrião e comprometa potencialmente todo o ambiente. Esta ação sugere que um atacante está a explorar vulnerabilidades para obter acesso não autorizado ao sistema anfitrião ou à infraestrutura mais ampla. |
| Execução: execução da ferramenta de ataque do Kubernetes (pré-visualização) | AGENT_ENGINE_KUBERNETES_ATTACK_TOOL_EXECUTION |
Um processo executou uma ferramenta de ataque específica do Kubernetes, que a inteligência contra ameaças identifica como uma potencial ameaça. Esta ação sugere que um atacante obteve acesso ao cluster e está a usar a ferramenta para explorar vulnerabilidades ou configurações específicas do Kubernetes. |
| Execução: execução da ferramenta de reconhecimento local (pré-visualização) | AGENT_ENGINE_LOCAL_RECONNAISSANCE_TOOL_EXECUTION |
Um processo executou uma ferramenta de reconhecimento local que não faz normalmente parte da carga de trabalho do agente. A inteligência contra ameaças identifica estas ferramentas como potenciais ameaças. Este evento sugere que um atacante está a tentar recolher informações do sistema interno, como mapear a infraestrutura, identificar vulnerabilidades ou recolher dados sobre as configurações do sistema. |
| Execução: Python malicioso executado (pré-visualização) | AGENT_ENGINE_MALICIOUS_PYTHON_EXECUTED |
Um modelo de aprendizagem automática identificou o código Python executado como malicioso. Um atacante pode usar o Python para transferir ferramentas ou ficheiros para um ambiente comprometido e executar comandos sem usar ficheiros binários. O detetor usa o processamento de linguagem natural (PLN) para analisar o conteúdo do código Python. Uma vez que esta abordagem não se baseia em assinaturas, os detetores podem identificar código Python malicioso conhecido e novo. |
| Execução: binário malicioso modificado executado (pré-visualização) | AGENT_ENGINE_MODIFIED_MALICIOUS_BINARY_EXECUTED |
Um processo executou um ficheiro binário que a inteligência contra ameaças identifica como malicioso. Este ficheiro binário fazia parte da carga de trabalho do agente original, mas foi modificado no tempo de execução. Este evento sugere que um atacante pode ter o controlo da carga de trabalho e está a executar software malicioso. |
| Execução: biblioteca maliciosa modificada carregada (pré-visualização) | AGENT_ENGINE_MODIFIED_MALICIOUS_LIBRARY_LOADED |
Um processo carregou uma biblioteca que a inteligência contra ameaças identifica como maliciosa. Esta biblioteca fazia parte da carga de trabalho do agente original, mas foi modificada no tempo de execução. Este evento sugere que um atacante tem controlo da carga de trabalho e está a executar software malicioso. |
| Script malicioso executado (pré-visualização) | AGENT_ENGINE_MALICIOUS_SCRIPT_EXECUTED |
Um modelo de aprendizagem automática identificou código Bash executado como malicioso. Um atacante pode usar o Bash para transferir ferramentas ou ficheiros para um ambiente comprometido e executar comandos sem usar binários. O detetor usa PNL para analisar o conteúdo do código Bash. Uma vez que esta abordagem não se baseia em assinaturas, os detetores podem identificar código Bash malicioso conhecido e novo. |
| URL malicioso observado (pré-visualização) | AGENT_ENGINE_MALICIOUS_URL_OBSERVED |
A deteção de ameaças do motor do agente observou um URL malicioso na lista de argumentos de um processo em execução. O detetor compara estes URLs com as listas de recursos Web não seguros mantidas pelo serviço de Navegação Segura da Google. Se considerar que o Google classificou incorretamente um URL como um site de phishing ou software malicioso, comunique o problema em Comunicação de dados incorretos. |
| Reverse Shell (pré-visualização) | AGENT_ENGINE_REVERSE_SHELL |
Um processo iniciado com o redirecionamento de streams para um soquete ligado remotamente. O detetor procura Uma shell inversa permite que um atacante comunique a partir de uma carga de trabalho comprometida para uma máquina controlada pelo atacante. Em seguida, o atacante pode dar comandos e controlar a carga de trabalho, por exemplo, como parte de uma botnet. |
| Shell filho inesperado (pré-visualização) | AGENT_ENGINE_UNEXPECTED_CHILD_SHELL |
Um processo que normalmente não invoca shells gerou inesperadamente um processo de shell. O detetor monitoriza as execuções de processos e gera uma descoberta quando um processo principal conhecido gera um shell inesperadamente. |
Detetores do plano de controlo
Esta secção descreve os detetores do plano de controlo da Deteção de ameaças de eventos que foram concebidos especificamente para agentes de IA implementados no tempo de execução do Vertex AI Agent Engine. A Deteção de ameaças de eventos também tem detetores para ameaças gerais relacionadas com a IA.
Estes detetores do plano de controlo estão ativados por predefinição. Estes detetores são geridos da mesma forma que outros detetores de deteção de ameaças de eventos. Para mais informações, consulte o artigo Use a deteção de ameaças de eventos.
| Nome a apresentar | Nome da API | Tipos de origens de registos | Descrição |
|---|---|---|---|
| Discovery: Agent Engine Service Account Self-Investigation (pré-visualização) | AGENT_ENGINE_IAM_ANOMALOUS_BEHAVIOR_SERVICE_ACCOUNT_GETS_OWN_IAM_POLICY |
Cloud Audit Logs: Registos de auditoria de acesso aos dados do IAM Autorizações: DATA_READ
|
Foi usada uma identidade associada a um agente de IA implementado no Vertex AI Agent Engine para investigar as funções e as autorizações associadas a essa mesma conta de serviço. Funções sensíveis As conclusões são classificadas como gravidade Elevada ou Média, consoante a sensibilidade das funções concedidas. Para mais informações, consulte o artigo Funções e autorizações de IAM confidenciais. |
| Exfiltração: exfiltração de dados do BigQuery iniciada pelo Agent Engine (pré-visualização) |
AGENT_ENGINE_BIG_QUERY_EXFIL_VPC_PERIMETER_VIOLATIONAGENT_ENGINE_BIG_QUERY_EXFIL_TO_EXTERNAL_TABLE
|
Cloud Audit Logs:
Registos de acesso aos dados BigQueryAuditMetadata
Autorizações:DATA_READ
|
Deteta os seguintes cenários de exfiltração de dados do BigQuery iniciada por um agente implementado no Vertex AI Agent Engine:
|
| Exfiltração: exfiltração do CloudSQL iniciada pelo motor do agente (pré-visualização) |
AGENT_ENGINE_CLOUDSQL_EXFIL_EXPORT_TO_PUBLIC_GCSAGENT_ENGINE_CLOUDSQL_EXFIL_EXPORT_TO_EXTERNAL_GCS
|
Cloud Audit Logs:
Registos de acesso aos dados do MySQL Registos de acesso aos dados do PostgreSQL Registos de acesso aos dados do SQL Server |
Deteta os seguintes cenários de exfiltração de dados do Cloud SQL iniciada por um agente implementado no Vertex AI Agent Engine:
Para ativações ao nível do projeto do nível Security Command Center Premium, esta descoberta só está disponível se o nível Standard estiver ativado na organização principal. Por predefinição, as conclusões são classificadas como gravidade Alta. |
| Exfiltração: extração de dados do BigQuery iniciada pelo Agent Engine (pré-visualização) | AGENT_ENGINE_BIG_QUERY_EXFIL_TO_CLOUD_STORAGE |
Cloud Audit Logs:
Registos de acesso aos dados BigQueryAuditMetadata
Autorizações:DATA_READ
|
Deteta os seguintes cenários de uma extração de dados do BigQuery iniciada por um agente implementado no Vertex AI Agent Engine:
Para ativações ao nível do projeto do nível Security Command Center Premium, esta descoberta só está disponível se o nível Standard estiver ativado na organização principal. Por predefinição, as conclusões são classificadas como gravidade Baixa. |
| Acesso inicial: ações negadas de autorização excessiva da identidade do motor do agente (pré-visualização) | AGENT_ENGINE_EXCESSIVE_FAILED_ATTEMPT |
Cloud Audit Logs: Registos de atividade do administrador | Uma identidade associada a um agente de IA implementado no Vertex AI Agent Engine acionou repetidamente erros de autorização recusada ao tentar fazer alterações em vários métodos e serviços. As conclusões são classificadas como gravidade Média por predefinição. |
| Privilege Escalation: Agent Engine Suspicious Token Generation (Pré-visualização) | AGENT_ENGINE_SUSPICIOUS_TOKEN_GENERATION_IMPLICIT_DELEGATION |
Cloud Audit Logs: Registos de auditoria de acesso aos dados do IAM |
A autorização iam.serviceAccounts.implicitDelegation foi
usada indevidamente para gerar chaves de acesso a partir de uma conta de serviço mais privilegiada através de um Vertex AI Agent Engine. Por predefinição, as conclusões são classificadas como gravidade Baixa.
|
| Privilege Escalation: Agent Engine Suspicious Token Generation (Pré-visualização) | AGENT_ENGINE_SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_OPENID |
Cloud Audit Logs: Registos de auditoria de acesso aos dados do IAM |
A autorização de IAM Esta descoberta não está disponível para ativações ao nível do projeto. Por predefinição, as conclusões são classificadas como gravidade Baixa. |
| Privilege Escalation: Agent Engine Suspicious Token Generation (Pré-visualização) | AGENT_ENGINE_SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_ACCESS_TOKEN |
Cloud Audit Logs: Registos de auditoria de acesso aos dados do IAM |
A autorização de IAM Esta descoberta não está disponível para ativações ao nível do projeto. Por predefinição, as conclusões são classificadas como gravidade Baixa. |
O que se segue?
- Saiba como usar a deteção de ameaças do motor do agente.
- Saiba como usar a deteção de ameaças de eventos.
- Consulte o índice de resultados de ameaças.