本頁面由 Cloud Translation API 翻譯而成。

探索：Agent Engine 服務帳戶自我調查

本文說明 Security Command Center 中的威脅發現項目類型。威脅偵測工具偵測到雲端資源中可能存在威脅時，就會產生威脅發現項目。如需可用威脅發現項目的完整清單，請參閱「威脅發現項目索引」。

總覽

系統會使用服務帳戶憑證，調查與該服務帳戶相關聯的角色和權限，而該服務帳戶是由部署至 Vertex AI Agent Engine 的代理程式所啟動。這項發現表示服務帳戶憑證可能遭盜用，應立即採取行動。

Event Threat Detection 是這項發現項目的來源。

如要回應這項發現，請按照下列步驟操作：

按照本頁稍早「查看調查結果詳細資料」一節的說明，開啟 Discovery: Agent Engine Service Account Self-Investigation 發現項目。系統會開啟發現項目的詳細資料面板，並顯示「摘要」分頁。
在「摘要」分頁中，查看下列各節的資訊：
- 偵測到的內容，特別是下列欄位：
  - 嚴重性：指派給發現項目的風險等級。如果觸發這項發現的 API 呼叫未經授權，也就是服務帳戶沒有權限透過 projects.getIamPolicy API 查詢自己的 IAM 權限，則嚴重程度為 HIGH。
  - 主體電子郵件地址：可能遭盜用的服務帳戶。
  - 呼叫端 IP：內部或外部 IP 位址
- 受影響的資源，尤其是下列欄位：
  - 完整資源名稱：
  - 專案完整名稱：包含可能外洩帳戶憑證的專案。
- 相關連結，尤其是下列欄位：
  - Cloud Logging URI：記錄項目連結。
  - MITRE ATT&CK 方法：連結至 MITRE ATT&CK 文件。
  - 相關發現項目：任何相關發現項目的連結。
1. 如要查看發現項目的完整 JSON，請按一下「JSON」分頁標籤。

前往 Google Cloud 控制台的「IAM」(身分與存取權管理) 頁面。

前往「IAM」頁面
如有需要，請選取發現項目 JSON 的 projectID 欄位中列出的專案。
在顯示的頁面中，於「Filter」(篩選器) 方塊中輸入「Principal email」(主體電子郵件) 中列出的帳戶名稱，然後檢查已指派的權限。如果找不到服務帳戶，可能是 Google 提供的 Vertex AI Agent Engine 服務帳戶。在這種情況下，請選取「包含 Google 提供的角色授予項目」，即可查看服務帳戶。
如要查看非 Google 提供的 Vertex AI Agent Engine 服務帳戶，請前往 Google Cloud 控制台的「Service Accounts」頁面。

前往「Service Accounts」(服務帳戶)
如果是 Google 提供的 Vertex AI Agent Engine 服務帳戶，請在顯示的頁面中，於「篩選條件」方塊輸入遭入侵服務帳戶的名稱，並檢查服務帳戶的金鑰和金鑰建立日期。

在發現項目詳細資料面板的「摘要」分頁中，按一下「Cloud Logging URI」連結，開啟「記錄檔探索工具」。
必要時，請選取專案。
在隨即載入的頁面中，使用下列篩選器檢查新或更新 IAM 資源的活動記錄：
- proto_payload.method_name="google.iam.admin.v1.CreateServiceAccount"
- protoPayload.methodName="SetIamPolicy"
- protoPayload.authenticationInfo.principalEmail="principalEmail"

下列回應計畫可能適用於這項發現，但也可能影響作業。請仔細評估調查期間收集到的資訊，找出解決問題的最佳方法。

與遭入侵帳戶的專案擁有者聯絡。
如果遭入侵的服務帳戶是 Google 提供的 Vertex AI Agent Engine 服務帳戶，您無法直接刪除該帳戶。在這種情況下，請將服務帳戶的權限限制在最低需求。否則，請刪除遭入侵的服務帳戶，並輪替及刪除遭入侵專案的所有服務帳戶存取金鑰。刪除後，使用該服務帳戶進行驗證的資源將無法存取。
刪除遭入侵帳戶建立的專案資源，例如不熟悉的 Compute Engine 執行個體、快照、服務帳戶和 IAM 使用者。