In diesem Dokument wird ein bestimmter Typ von Bedrohungsergebnissen in Security Command Center beschrieben. Bedrohungsergebnisse werden von Bedrohungsdetektoren generiert, wenn sie eine potenzielle Bedrohung in Ihren Cloud-Ressourcen erkennen. Eine vollständige Liste der verfügbaren Bedrohungsergebnisse finden Sie im Index der Bedrohungsergebnisse.
Übersicht
In einer Organisation, einem Ordner oder einem Projekt wurde eine anomale Administratoraktivität für KI-Dienste durch einen potenziell böswilligen Akteur erkannt. Anomale Aktivitäten können Folgendes sein:
- Neue Aktivität eines Prinzipals in einer Organisation, einem Ordner oder einem Projekt
- Aktivität, die seit einiger Zeit nicht mehr ausgeführt wurde und von einem Prinzipal in einer Organisation, einem Ordner oder einem Projekt ausgeführt wird.
Die Quelle von diesem Ergebnis ist Event Threat Detection.
Maßnahmen
So reagieren Sie auf dieses Ergebnis:
Schritt 1: Ergebnisdetails prüfen
- Öffnen Sie das Ergebnis
Persistence: New AI API Method, wie unter Ergebnisse prüfen beschrieben. Beachten Sie in den Ergebnisdetails auf dem Tab Zusammenfassung die Werte der folgenden Felder:
- Unter Was wurde erkannt:
- E-Mail-Adresse des Prinzipals: Das Konto, über das der Aufruf erfolgt ist.
- Methodenname: Die aufgerufene Methode.
- KI-Ressourcen: Die potenziell betroffenen KI-Ressourcen, z. B. die Agent Platform-Ressourcen und das KI-Modell.
- Unter Betroffene Ressource:
- Anzeigename der Ressource: Der Name der betroffenen Ressource, der mit dem Namen der Organisation, des Ordners oder des Projekts identisch sein kann.
- Ressourcenpfad: Der Ort in der Ressourcenhierarchie, an dem die Aktivität stattgefunden hat.
- Unter Was wurde erkannt:
Schritt 2: Angriffs- und Reaktionsmethoden untersuchen
- Prüfen Sie die MITRE-ATT&CK-Framework-Einträge für diesen Ergebnistyp: Persistence.
- Untersuchen Sie, ob die Aktion in der Organisation, dem Ordner oder dem Projekt gerechtfertigt war und ob sie vom legitimen Inhaber des Kontos ausgeführt wurde. Die Organisation, der Ordner oder das Projekt wird im Feld Ressourcenpfad angezeigt und das Konto in der Zeile E-Mail-Adresse des Prinzipals.
- Kombinieren Sie Ihre Untersuchungsergebnisse mit der MITRE-Recherche, um einen Reaktionsplan zu entwickeln.
Beispiel für ein Ergebnis im JSON-Format
Im Folgenden sehen Sie ein Beispiel für ein Ergebnis im JSON-Format.
{ "findings": { "access": { "principalEmail": "PRINCIPAL_EMAIL", "callerIp": "IP_ADDRESS", "callerIpGeo": { "regionCode": "US" }, "serviceName": "aiplatform.googleapis.com", "methodName": "METHOD_NAME", "principalSubject": "PRINCIPAL_SUBJECT", "serviceAccountKeyName": "SERVICE_ACCOUNT_KEY_NAME" }, "assetDisplayName": "ASSET_DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_NUMBER/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Persistence: New AI API Method", "contacts": { "security": { "contacts": [ { "email": "EMAIL_ADDRESS" }, { "email": "EMAIL_ADDRESS" }, { "email": "EMAIL_ADDRESS" } ] }, "technical": { "contacts": [ { "email": "EMAIL_ADDRESS" }, { "email": "EMAIL_ADDRESS" }, { "email": "EMAIL_ADDRESS" } ] } }, "createTime": "2023-01-12T10:35:47.381Z", "database": {}, "eventTime": "2023-01-12T10:35:47.270Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_NUMBER/firstPartyFindingProviders/etd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "primaryTactic": "PERSISTENCE", }, "muteInfo": { "staticMute": { "state": "UNDEFINED", "applyTime": "1970-01-01T00:00:00Z" } }, "domains": [ { "category": "AI" }, { "category": "IDENTITY_AND_ACCESS" } ], "aiModel": { "name": "//aiplatform.googleapis.com/projects/PROJECT_NUMBER/locations/us-central1/models/MODEL_NAME", "deploymentPlatform": "VERTEX_AI" }, "name": "organizations/ORGANIZATION_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_NUMBER/sources/SOURCE_ID", "parentDisplayName": "Event Threat Detection", "resourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "severity": "LOW", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "displayName": "projects/PROJECT_NUMBER/locations/us-central1/models/MODEL_NAME", "gcpMetadata": { "project": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "projectDisplayName": "PROJECT_ID", "parent": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parentDisplayName": "PROJECT_ID", "organization": "organizations/ORGANIZATION_ID" }, "type": "google.aiplatform.Model", "folders": [] }, "sourceProperties": { "sourceId": { "projectNumber": "PROJECT_NUMBER", "customerOrganizationNumber": "ORGANIZATION_NUMBER" }, "detectionCategory": { "ruleName": "ai_anomalous_behavior_new_api_method", }, "detectionPriority": "LOW", "affectedResources": [ { "gcpResourceName": "//aiplatform.googleapis.com/projects/PROJECT_NUMBER/locations/us-central1/models/MODEL_NAME" }, { "gcpResourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER" } ], "evidence": [ { "sourceLogId": { "projectId": "PROJECT_ID", "resourceContainer": "projects/PROJECT_ID", "timestamp": { "seconds": "1673519681", "nanos": 728289000 }, "insertId": "INSERT_ID" } } ], "properties": { "newApiMethod": { "newApiMethod": { "serviceName": "SERVICE_NAME", "methodName": "METHOD_NAME" }, "principalEmail": "PRINCIPAL_EMAIL", "callerIp": "IP_ADDRESS", "callerUserAgent": "CALLER_USER_AGENT", "resourceContainer": "projects/PROJECT_NUMBER" } }, "findingId": "FINDING_ID", "contextUris": { "mitreUri": { "displayName": "MITRE Link", "url": "https://attack.mitre.org/tactics/TA0003/" } } } }
Nächste Schritte
- Informationen zum Arbeiten mit Bedrohungsergebnissen in Security Command Center
- Weitere Informationen finden Sie im Index der Bedrohungsergebnisse.
- Informationen zum Überprüfen von Ergebnissen über die Google Cloud Console
- Dienste, die Bedrohungsergebnisse generieren