En este documento se describe un tipo de hallazgo de amenazas en Security Command Center. Los hallazgos de amenazas los generan los detectores de amenazas cuando detectan una amenaza potencial en tus recursos de la nube. Para ver una lista completa de las detecciones de amenazas disponibles, consulta el índice de detecciones de amenazas.
Información general
Detección de amenazas de Agent Engine ha observado un proceso que ha generado inesperadamente un proceso de shell secundario. Este evento puede indicar que un atacante está intentando abusar de los comandos y las secuencias de comandos de shell.
Detección de amenazas de Agent Engine es la fuente de este resultado.
Cómo responder
Para responder a esta observación, sigue estos pasos:
Consultar los detalles de los resultados
Abre el
Unexpected Child Shelltal como se indica en el artículo Revisar los resultados. Consulta los detalles en las pestañas Resumen y JSON.En la pestaña Resumen, consulte la información de las siguientes secciones:
- Qué se detectó, especialmente los siguientes campos:
- Proceso superior: el proceso que ha creado inesperadamente el proceso secundario de shell
- Proceso secundario: el proceso de shell secundario
- Arguments: los argumentos proporcionados al proceso binario del shell secundario.
- Variables de entorno: las variables de entorno del proceso binario del shell secundario.
- Recurso afectado, especialmente los siguientes campos:
- Nombre completo del recurso: el nombre completo del recurso
del agente de IA afectado
(un recurso
ReasoningEngine)
- Nombre completo del recurso: el nombre completo del recurso
del agente de IA afectado
(un recurso
- Enlaces relacionados, especialmente el siguiente campo:
- Indicador de VirusTotal: enlace a la página de análisis de VirusTotal.
- Qué se detectó, especialmente los siguientes campos:
En la pestaña JSON, anota los siguientes campos:
processes: un array que contiene todos los procesos relacionados con el hallazgo. Esta matriz incluye el proceso de shell secundario y el proceso principal.resource:project_display_name: nombre del proyecto que contiene los recursos.
Busca hallazgos relacionados que se hayan producido a una hora similar para el agente de IA afectado. Estos resultados pueden indicar que la actividad era maliciosa, en lugar de que no se hayan seguido las prácticas recomendadas.
Revisa la configuración del agente de IA afectado.
Consulta los registros del agente de IA afectado.
Investigar métodos de ataque y respuesta
- Consulta la entrada del framework ATT&CK de MITRE para este tipo de resultado: Intérprete de comandos y scripts: shell de Unix.
- Compruebe el valor del hash SHA-256 del archivo binario marcado como malicioso en VirusTotal haciendo clic en el enlace del indicador de VirusTotal. VirusTotal es un servicio propiedad de Alphabet que proporciona contexto sobre archivos, URLs, dominios y direcciones IP potencialmente maliciosos.
- Para desarrollar un plan de respuesta, combina los resultados de tu investigación con la investigación de MITRE y el análisis de VirusTotal.
Implementar tu respuesta
Para obtener recomendaciones de respuestas, consulta Responder a las detecciones de amenazas de IA.
Siguientes pasos
- Consulta cómo trabajar con las detecciones de amenazas en Security Command Center.
- Consulta el índice de hallazgos de amenazas.
- Consulta cómo revisar un resultado a través de la consola de Google Cloud .
- Consulta información sobre los servicios que generan detecciones de amenazas.