Akses Kredensial: Akses Tidak Normal Agent Engine ke Layanan Metadata

Dokumen ini menjelaskan jenis temuan ancaman di Security Command Center. Temuan ancaman dibuat oleh pendeteksi ancaman saat mendeteksi potensi ancaman di resource cloud Anda. Untuk mengetahui daftar lengkap temuan ancaman yang tersedia, lihat Indeks temuan ancaman.

Ringkasan

Aturan ini mendeteksi upaya untuk mengambil token akun layanan dari server metadata Compute Engine yang dimulai oleh agen yang di-deploy ke Vertex AI Agent Engine. Temuan diklasifikasikan sebagai tingkat keparahan Rendah secara default.

Event Threat Detection adalah sumber temuan ini.

Cara merespons

Untuk menanggapi temuan ini, lakukan hal berikut:

Meninjau detail temuan

  1. Buka temuan Credential Access: Agent Engine Anomalous Access to Metadata Service seperti yang diarahkan dalam Meninjau temuan. Tinjau detail di tab Ringkasan dan JSON.
    • Resource yang terpengaruh, terutama kolom berikut:
      • Nama tampilan resource: resource ReasoningEngine tempat permintaan terjadi.
    • Link terkait:
      • Cloud Logging URI: link ke entri Logging.
      • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.

  2. Identifikasi temuan lain yang terjadi pada waktu yang serupa untuk resource ini. Temuan terkait mungkin menunjukkan bahwa aktivitas ini berbahaya, bukan karena kegagalan mengikuti praktik terbaik.

  3. Tinjau setelan resource yang terpengaruh.

  4. Periksa log untuk resource yang terpengaruh.

    1. Di tab Summary pada detail temuan di konsol Google Cloud , buka Logs Explorer dengan mengklik link di kolom Cloud Logging URI.
    2. Periksa nilai di kolom textPayload untuk mengidentifikasi log aktivitas permintaan.

Meneliti metode serangan dan respons

Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Cloud Instance Metadata API.

Menerapkan respons Anda

Untuk rekomendasi respons, lihat Merespons temuan ancaman AI.

Langkah berikutnya