Questo documento descrive un tipo di risultato di minaccia in Security Command Center. I risultati di minaccia vengono generati dai rilevatori di minacce quando rilevano una potenziale minaccia nelle risorse cloud. Per un elenco completo dei risultati di minaccia disponibili, consulta l'Indice dei risultati di minaccia.
Panoramica
In un'organizzazione, una cartella o un progetto è stata rilevata un'attività di amministrazione anomala per i servizi AI da parte di un malintenzionato potenzialmente dannoso. L'attività anomala può essere una delle seguenti:
- Nuova attività di un'entità in un'organizzazione, una cartella o un progetto
- Attività che non è stata eseguita da un po' di tempo da un'entità in un'organizzazione, una cartella o un progetto.
Event Threat Detection è l'origine di questo risultato.
Come rispondere
Per rispondere a questo risultato:
Passaggio 1: esamina i dettagli del risultato
- Apri il risultato
Persistence: New AI API Methodcome indicato in Esaminare i risultati. Nei dettagli del risultato, nella scheda Riepilogo, prendi nota dei valori dei seguenti campi:
- In Che cosa è stato rilevato:
- Email entità: l'account che ha effettuato la chiamata
- Nome metodo: il metodo chiamato
- Risorse AI: le risorse AI potenzialmente interessate, come le risorse della piattaforma Agent e il modello AI.
- In Risorsa interessata:
- Nome visualizzato risorsa: il nome della risorsa interessata, che può essere uguale al nome dell'organizzazione, della cartella o del progetto
- Percorso risorsa: la posizione nella gerarchia delle risorse in cui si è svolta l'attività
- In Che cosa è stato rilevato:
Passaggio 2: ricerca i metodi di attacco e risposta
- Esamina le voci del framework MITRE ATT&CK per questo tipo di risultato: Persistenza.
- Verifica se l'azione era giustificata nell'organizzazione, nella cartella o nel progetto e se è stata eseguita dal proprietario legittimo dell'account. L'organizzazione, la cartella o il progetto vengono visualizzati nel campo Percorso risorsa e l'account viene visualizzato nella riga Email entità.
- Per sviluppare un piano di risposta, combina i risultati dell'indagine con la ricerca MITRE.
Esempio di JSON del risultato
Di seguito è riportato un esempio di JSON del risultato.
{ "findings": { "access": { "principalEmail": "PRINCIPAL_EMAIL", "callerIp": "IP_ADDRESS", "callerIpGeo": { "regionCode": "US" }, "serviceName": "aiplatform.googleapis.com", "methodName": "METHOD_NAME", "principalSubject": "PRINCIPAL_SUBJECT", "serviceAccountKeyName": "SERVICE_ACCOUNT_KEY_NAME" }, "assetDisplayName": "ASSET_DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_NUMBER/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Persistence: New AI API Method", "contacts": { "security": { "contacts": [ { "email": "EMAIL_ADDRESS" }, { "email": "EMAIL_ADDRESS" }, { "email": "EMAIL_ADDRESS" } ] }, "technical": { "contacts": [ { "email": "EMAIL_ADDRESS" }, { "email": "EMAIL_ADDRESS" }, { "email": "EMAIL_ADDRESS" } ] } }, "createTime": "2023-01-12T10:35:47.381Z", "database": {}, "eventTime": "2023-01-12T10:35:47.270Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_NUMBER/firstPartyFindingProviders/etd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "primaryTactic": "PERSISTENCE", }, "muteInfo": { "staticMute": { "state": "UNDEFINED", "applyTime": "1970-01-01T00:00:00Z" } }, "domains": [ { "category": "AI" }, { "category": "IDENTITY_AND_ACCESS" } ], "aiModel": { "name": "//aiplatform.googleapis.com/projects/PROJECT_NUMBER/locations/us-central1/models/MODEL_NAME", "deploymentPlatform": "VERTEX_AI" }, "name": "organizations/ORGANIZATION_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_NUMBER/sources/SOURCE_ID", "parentDisplayName": "Event Threat Detection", "resourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "severity": "LOW", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "displayName": "projects/PROJECT_NUMBER/locations/us-central1/models/MODEL_NAME", "gcpMetadata": { "project": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "projectDisplayName": "PROJECT_ID", "parent": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parentDisplayName": "PROJECT_ID", "organization": "organizations/ORGANIZATION_ID" }, "type": "google.aiplatform.Model", "folders": [] }, "sourceProperties": { "sourceId": { "projectNumber": "PROJECT_NUMBER", "customerOrganizationNumber": "ORGANIZATION_NUMBER" }, "detectionCategory": { "ruleName": "ai_anomalous_behavior_new_api_method", }, "detectionPriority": "LOW", "affectedResources": [ { "gcpResourceName": "//aiplatform.googleapis.com/projects/PROJECT_NUMBER/locations/us-central1/models/MODEL_NAME" }, { "gcpResourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER" } ], "evidence": [ { "sourceLogId": { "projectId": "PROJECT_ID", "resourceContainer": "projects/PROJECT_ID", "timestamp": { "seconds": "1673519681", "nanos": 728289000 }, "insertId": "INSERT_ID" } } ], "properties": { "newApiMethod": { "newApiMethod": { "serviceName": "SERVICE_NAME", "methodName": "METHOD_NAME" }, "principalEmail": "PRINCIPAL_EMAIL", "callerIp": "IP_ADDRESS", "callerUserAgent": "CALLER_USER_AGENT", "resourceContainer": "projects/PROJECT_NUMBER" } }, "findingId": "FINDING_ID", "contextUris": { "mitreUri": { "displayName": "MITRE Link", "url": "https://attack.mitre.org/tactics/TA0003/" } } } }
Passaggi successivi
- Scopri come utilizzare i risultati di minaccia in Security Command Center.
- Consulta l'Indice dei risultati di minaccia.
- Scopri come esaminare un risultato tramite la Google Cloud console.
- Scopri i servizi che generano risultati di minaccia.