Este documento descreve um tipo de deteção de ameaças no Security Command Center. As conclusões de ameaças são geradas por detetores de ameaças quando detetam uma potencial ameaça nos seus recursos da nuvem. Para ver uma lista completa das deteções de ameaças disponíveis, consulte o Índice de deteções de ameaças.
Vista geral
Um processo executou uma ferramenta de reconhecimento local na carga de trabalho do agente. Este evento sugere que um potencial atacante está a recolher informações sobre o ambiente de carga de trabalho, como configurações de rede, processos ativos ou sistemas de ficheiros montados. Os atacantes usam frequentemente este tipo de ferramenta nas fases iniciais de um ataque para mapear potenciais alvos e identificar vulnerabilidades. Esta é uma descoberta de gravidade média, porque indica que o atacante está a sondar ativamente a carga de trabalho do agente para encontrar mais oportunidades de exploração.
A deteção de ameaças do motor do agente é a origem desta descoberta.
Como responder
Para responder a esta descoberta, faça o seguinte:
Reveja os detalhes da descoberta
Abra a descoberta
Execution: Local Reconnaissance Tool Executionconforme indicado em Rever descobertas. Reveja os detalhes nos separadores Resumo e JSON.No separador Resumo, reveja as informações nas seguintes secções.
- O que foi detetado, especialmente os seguintes campos:
- Binário do programa: o caminho absoluto do binário executado
- Argumentos: os argumentos transmitidos durante a execução binária
- Recurso afetado, especialmente os seguintes campos:
- Nome completo do recurso: o nome completo do recurso
do agente de IA afetado
(um recurso
ReasoningEngine)
- Nome completo do recurso: o nome completo do recurso
do agente de IA afetado
(um recurso
- O que foi detetado, especialmente os seguintes campos:
No separador JSON, tenha em atenção os seguintes campos.
resource:project_display_name: o nome do projeto que contém o agente de IA afetado
finding:processes:binary:path: o caminho completo do ficheiro binário executado
args: os argumentos que foram fornecidos quando o ficheiro binário foi executado
Identifique outras conclusões que ocorreram numa altura semelhante para o agente de IA afetado. As conclusões relacionadas podem indicar que esta atividade foi maliciosa, em vez de uma falha no seguimento das práticas recomendadas.
Reveja as definições do agente de IA afetado.
Verifique os registos do agente de IA afetado.
Investigue métodos de ataque e resposta
- Reveja a entrada da framework MITRE ATT&CK para este tipo de descoberta: Análise ativa.
- Para desenvolver um plano de resposta, combine os resultados da sua investigação com a investigação da MITRE.
Implemente a sua resposta
Para recomendações de respostas, consulte o artigo Responda a conclusões de ameaças de IA.
O que se segue?
- Saiba como trabalhar com as conclusões de ameaças no Security Command Center.
- Consulte o índice de resultados de ameaças.
- Saiba como rever uma descoberta através da Google Cloud consola.
- Saiba mais sobre os serviços que geram resultados de ameaças.