本文說明 Agent Engine Threat Detection 和相關偵測器。
Agent Engine Threat Detection 是 Security Command Center 的內建服務,可協助您偵測及調查部署至 Vertex AI Agent Engine 執行階段的 AI 代理潛在攻擊。如果 Agent Engine Threat Detection 服務偵測到潛在攻擊,這項服務會近乎即時地在 Security Command Center 中產生發現項目。
Agent Engine Threat Detection 會監控支援的 AI 代理程式,並偵測最常見的執行階段威脅。執行階段威脅包括執行惡意二進位檔或指令碼、容器逸出、反向 Shell,以及在代理程式環境中使用攻擊工具。
此外,事件威脅偵測的控制平面偵測器會分析各種稽核記錄 (包括 Identity and Access Management、BigQuery 和 Cloud SQL 記錄),以及 Vertex AI Agent Engine 記錄 (stdout 和 stderr),偵測可疑活動。控制平面威脅包括資料外洩嘗試、過度拒絕授權,以及可疑的權杖產生。
優點
Agent Engine Threat Detection 具有下列優點:
- 主動降低 AI 工作負載的風險。Agent Engine Threat Detection 可監控 AI 代理的行為和環境,協助您及早偵測及因應威脅
- 集中管理 AI 安全性。Agent Engine Threat Detection 發現項目會直接顯示在 Security Command Center 中。您可透過中央介面,查看及管理威脅發現項目,以及其他雲端安全風險。
運作方式
Agent Engine Threat Detection 會從代管的 AI 代理程式收集遙測資料,分析可能表示有執行階段攻擊的程序、指令碼和程式庫。Agent Engine Threat Detection 偵測到潛在威脅時,會執行下列動作:
Agent Engine Threat Detection 會在代理程式工作負載執行時,使用監控程序收集事件資訊。監控程序最多可能需要一分鐘才能啟動並收集資訊。
Agent Engine Threat Detection 會分析收集到的事件資訊,判斷事件是否表示發生事故。Agent Engine 威脅偵測功能會使用自然語言處理 (NLP) 技術分析 Bash 和 Python 指令碼,找出惡意程式碼。
如果 Agent Engine Threat Detection 偵測到事件,會將事件回報為 Security Command Center 中的發現項目。
如果 Agent Engine Threat Detection 未識別出事件,就不會儲存任何資訊。
收集到的所有資料都會在記憶體中處理,且不會在分析後保留,除非資料被判定為事件並回報為發現事項。
如要瞭解如何在Google Cloud 控制台中查看 Agent Engine 威脅偵測結果,請參閱「查看結果」。
偵測工具
本節列出執行階段和控制層偵測器,用於監控部署至 Vertex AI Agent Engine 執行階段的 AI 代理程式。
執行階段偵測器
Agent Engine Threat Detection 包含下列執行階段偵測器:
| 顯示名稱 | 模組名稱 | 說明 |
|---|---|---|
| 執行作業:已執行新增的惡意二進位檔 (預覽) | AGENT_ENGINE_ADDED_MALICIOUS_BINARY_EXECUTED |
某個程序執行了威脅情報判斷為惡意的二進位檔。這個二進位檔不屬於原始代理程式工作負載。 這項事件強烈指出攻擊者已掌控工作負載,並正在執行惡意軟體。 |
| 執行作業:已載入新增的惡意資料庫 (預覽) | AGENT_ENGINE_ADDED_MALICIOUS_LIBRARY_LOADED |
程序載入的程式庫遭威脅情報判定為惡意。這個程式庫不屬於原始的代理工作負載。 這項事件表示攻擊者可能已掌控工作負載,並正在執行惡意軟體。 |
| 執行:已執行內建的惡意二進位檔 (預覽) | AGENT_ENGINE_BUILT_IN_MALICIOUS_BINARY_EXECUTED |
某個程序執行了威脅情報判斷為惡意的二進位檔案。這個二進位檔是原始代理工作負載的一部分。 這項事件可能表示攻擊者正在部署惡意工作負載。舉例來說,攻擊者可能已掌控合法的建構管道,並將惡意二進位檔注入代理程式工作負載。 |
| 執行:容器跳脫 (預覽版) | AGENT_ENGINE_CONTAINER_ESCAPE |
容器內執行的程序嘗試使用已知的攻擊技術或二進位檔,繞過容器隔離機制,而威脅情報將這些行為視為潛在威脅。如果攻擊者成功逃脫,就能存取主機系統,並可能入侵整個環境。 這項動作表示攻擊者正在利用安全漏洞,未經授權存取主機系統或更廣泛的基礎架構。 |
| 執行作業:Kubernetes 攻擊工具執行作業 (預覽版) | AGENT_ENGINE_KUBERNETES_ATTACK_TOOL_EXECUTION |
某個程序執行了 Kubernetes 專用的攻擊工具,威脅情資將其視為潛在威脅。 這項動作表示攻擊者已取得叢集存取權,並使用這項工具來利用 Kubernetes 特有的安全漏洞或設定。 |
| 執行作業:本機偵查工具執行作業 (預覽) | AGENT_ENGINE_LOCAL_RECONNAISSANCE_TOOL_EXECUTION |
某個程序執行了本機偵查工具,但這類工具通常不屬於代理程式工作負載。威脅情報會將這些工具視為潛在威脅。 這項事件表示攻擊者正嘗試收集內部系統資訊,例如繪製基礎架構地圖、找出安全漏洞,或收集系統設定的資料。 |
| 執行作業:已執行惡意 Python (預先發布版) | AGENT_ENGINE_MALICIOUS_PYTHON_EXECUTED |
機器學習模型將執行的 Python 程式碼判定為惡意。攻擊者可以使用 Python 將工具或檔案下載到遭入侵的環境,並執行指令,無須使用二進位檔。 偵測器會使用自然語言處理 (NLP) 技術分析 Python 程式碼的內容。由於這種方法並非以簽章為依據,因此偵測器可以識別已知和新穎的惡意 Python 程式碼。 |
| 執行作業:已執行修改過的惡意二進位檔 (預先發布版) | AGENT_ENGINE_MODIFIED_MALICIOUS_BINARY_EXECUTED |
某個程序執行了威脅情報判斷為惡意的二進位檔案。這個二進位檔是原始代理程式工作負載的一部分,但在執行階段經過修改。 這個事件表示攻擊者可能已控制工作負載,並正在執行惡意軟體。 |
| 執行作業:已載入修改過的惡意資料庫 (預覽) | AGENT_ENGINE_MODIFIED_MALICIOUS_LIBRARY_LOADED |
程序載入的程式庫遭威脅情報判定為惡意。這個程式庫是原始代理程式工作負載的一部分,但在執行階段經過修改。 這項事件表示攻擊者已掌控工作負載,並正在執行惡意軟體。 |
| 已執行惡意指令碼 (預先發布版) | AGENT_ENGINE_MALICIOUS_SCRIPT_EXECUTED |
機器學習模型將執行的 Bash 程式碼識別為惡意程式碼。 攻擊者可以使用 Bash 將工具或檔案下載到遭入侵的環境,並執行指令,無須使用二進位檔。 偵測器會使用 NLP 分析 Bash 程式碼的內容。由於這種方法並非以簽章為依據,因此偵測器可以識別已知和新型的惡意 Bash 程式碼。 |
| 偵測到惡意網址 (預覽) | AGENT_ENGINE_MALICIOUS_URL_OBSERVED |
Agent Engine Threat Detection 在執行中程序的引數清單中,發現惡意網址。 偵測器會將這些網址與 Google 安全瀏覽服務維護的不安全網頁資源清單進行比較。如果認為 Google 誤將網址歸類為網路釣魚網站或惡意軟體,請前往「 回報錯誤資料」頁面回報問題。 |
| 反向殼層 (預覽) | AGENT_ENGINE_REVERSE_SHELL |
程序已啟動,並將串流重新導向至遠端連線的通訊端。偵測器會尋找繫結至遠端通訊端的 反向 Shell 可讓攻擊者從遭入侵的工作負載,與自己控制的機器通訊。攻擊者隨後就能指揮及控制工作負載,例如將其納入殭屍網路。 |
| 非預期的子殼層 (預覽) | AGENT_ENGINE_UNEXPECTED_CHILD_SHELL |
通常不會叫用殼層的程序意外產生殼層程序。 偵測器會監控程序執行作業,並在已知父項程序意外產生殼層時產生發現項目。 |
控制層偵測工具
本節說明 Event Threat Detection 的控制層偵測器,這些偵測器專為部署至 Vertex AI Agent Engine Runtime 的 AI 代理程式設計。Event Threat Detection 也提供一般 AI 相關威脅的偵測工具。
這些控制層偵測器預設為啟用。管理這些偵測工具的方式,與管理其他事件威脅偵測工具相同。詳情請參閱「使用 Event Threat Detection」。
| 顯示名稱 | API 名稱 | 記錄來源類型 | 說明 |
|---|---|---|---|
| 探索:Agent Engine 服務帳戶自我調查 (預先發布版) | AGENT_ENGINE_IAM_ANOMALOUS_BEHAVIOR_SERVICE_ACCOUNT_GETS_OWN_IAM_POLICY |
Cloud 稽核記錄: IAM 資料存取稽核記錄 權限: DATA_READ
|
與部署至 Vertex AI Agent Engine 的 AI 代理程式相關聯的身分,用於調查與該服務帳戶相關聯的角色和權限。 敏感角色 系統會根據授予角色的敏感度,將發現項目分類為高或中嚴重性。詳情請參閱「敏感的 IAM 角色和權限」。 |
| 資料外洩:Agent Engine 啟動 BigQuery 資料外洩作業 (預先發布版) |
AGENT_ENGINE_BIG_QUERY_EXFIL_VPC_PERIMETER_VIOLATIONAGENT_ENGINE_BIG_QUERY_EXFIL_TO_EXTERNAL_TABLE
|
Cloud Audit Logs:
BigQueryAuditMetadata 資料存取記錄
權限:DATA_READ
|
偵測代理程式在 Vertex AI Agent Engine 中啟動的 BigQuery 資料竊取作業,包括以下情況:
|
| 竊取資料:Agent Engine 啟動 Cloud SQL 資料竊取作業 (預先發布版) |
AGENT_ENGINE_CLOUDSQL_EXFIL_EXPORT_TO_PUBLIC_GCSAGENT_ENGINE_CLOUDSQL_EXFIL_EXPORT_TO_EXTERNAL_GCS
|
Cloud Audit Logs:
MySQL 資料存取記錄 PostgreSQL 資料存取記錄 SQL Server 資料存取記錄 |
偵測代理程式在 Vertex AI Agent Engine 啟動的 Cloud SQL 資料外洩情境:
如果在專案層級啟用 Security Command Center Premium 方案,只有在父項機構啟用 Standard 方案時,才能使用這項發現項目。發現項目預設會分類為「高」嚴重性。 |
| 資料外洩:Agent Engine 啟動 BigQuery 資料擷取作業 (預先發布版) | AGENT_ENGINE_BIG_QUERY_EXFIL_TO_CLOUD_STORAGE |
Cloud Audit Logs:
BigQueryAuditMetadata 資料存取記錄
權限:DATA_READ
|
偵測代理程式在 Vertex AI Agent Engine 中啟動的 BigQuery 資料擷取作業,包括以下情況:
如果在專案層級啟用 Security Command Center Premium 方案,只有在父項機構啟用 Standard 方案時,才能使用這項發現項目。發現項目預設為低嚴重性。 |
| 初始存取權:Agent Engine 身分因過度授權而遭拒的動作 (搶先版) | AGENT_ENGINE_EXCESSIVE_FAILED_ATTEMPT |
Cloud 稽核記錄: 管理員活動記錄 | 部署至 Vertex AI Agent Engine 的 AI 代理相關聯身分,嘗試透過多種方法和服務進行變更,因此反覆觸發「權限遭拒」錯誤。發現項目預設為中嚴重性。 |
| 權限提升:Agent Engine 可疑的權杖產生作業 (預先發布版) | AGENT_ENGINE_SUSPICIOUS_TOKEN_GENERATION_IMPLICIT_DELEGATION |
Cloud 稽核記錄: IAM 資料存取稽核記錄 |
iam.serviceAccounts.implicitDelegation 權限遭到濫用,透過 Vertex AI Agent Engine 從權限較高的服務帳戶產生存取權杖。發現項目預設為低嚴重性。
|
| 權限提升:Agent Engine 可疑的權杖產生作業 (預先發布版) | AGENT_ENGINE_SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_OPENID |
Cloud 稽核記錄: IAM 資料存取稽核記錄 |
這項發現項目不適用於專案層級的啟用作業。發現項目預設為低嚴重性。 |
| 權限提升:Agent Engine 可疑的權杖產生作業 (預先發布版) | AGENT_ENGINE_SUSPICIOUS_TOKEN_GENERATION_CROSS_PROJECT_ACCESS_TOKEN |
Cloud 稽核記錄: IAM 資料存取稽核記錄 |
透過部署至 Vertex AI Agent Engine 的 AI 代理程式,在專案中使用 這項發現項目不適用於專案層級的啟用作業。發現項目預設為低嚴重性。 |