Persistência: nova geografia para o serviço de IA

Este documento descreve um tipo de deteção de ameaças no Security Command Center. As conclusões de ameaças são geradas por detetores de ameaças quando detetam uma potencial ameaça nos seus recursos da nuvem. Para ver uma lista completa das conclusões de ameaças disponíveis, consulte o Índice de conclusões de ameaças.

Vista geral

Esta descoberta não está disponível para ativações ao nível do projeto.

Um utilizador ou uma conta de serviço do IAM está a aceder aos Google Cloud serviços de IA a partir de uma localização anómala, com base na geolocalização do endereço IP de pedido.

A Deteção de ameaças com base em eventos é a origem desta descoberta.

Como responder

Para responder a esta descoberta, faça o seguinte:

Passo 1: reveja os detalhes da descoberta

  1. Abra uma deteção Persistence: New Geography for AI Service, conforme indicado em Rever detalhes da deteção anteriormente nesta página. O painel de detalhes da deteção é aberto no separador Resumo.

  2. No separador Resumo, reveja as informações nas seguintes secções:

  • O que foi detetado, especialmente os seguintes campos:
    • Email principal: a conta de utilizador potencialmente comprometida.
    • Recursos de IA: os recursos de IA potencialmente afetados, como os recursos do Vertex AI e o modelo de IA.
  • Recurso afetado, especialmente os seguintes campos:
    • Nome completo do projeto: o projeto que contém a conta de utilizador potencialmente comprometida.
  • Links relacionados, especialmente os seguintes campos:
    • URI do Cloud Logging: link para as entradas do Logging.
    • Método MITRE ATT&CK: link para a documentação do MITRE ATT&CK.
    • Resultados relacionados: links para resultados relacionados.
  1. Na vista de detalhes da descoberta, clique no separador JSON.

  2. No JSON, tenha em atenção os seguintes campos sourceProperties:

    • affectedResources:
      • gcpResourceName: o recurso afetado
    • evidence:
      • sourceLogId:
      • projectId: o ID do projeto que contém a descoberta.
    • properties:
      • anomalousLocation:
      • anomalousLocation: a localização atual estimada do utilizador.
      • callerIp: o endereço IP externo.
      • notSeenInLast: o período usado para estabelecer uma base para o comportamento normal.
      • typicalGeolocations: as localizações onde o utilizador acede normalmente aos Google Cloud recursos.
    • aiModel:
      • name: a IA afetada Model
    • vertexAi:
      • datasets: os conjuntos de dados do Vertex AI afetados
      • pipelines: os pipelines de preparação do Vertex AI afetados

Passo 2: reveja as autorizações do projeto e da conta

  1. Na Google Cloud consola, aceda à página IAM.

    Aceda ao IAM

  2. Se necessário, selecione o projeto indicado no campo projectID no JSON de deteção.

  3. Na página apresentada, na caixa Filtro, introduza o nome da conta indicado em Email principal e verifique as funções concedidas.

Passo 3: verifique os registos

  1. No separador Resumo do painel de detalhes da descoberta, clique no link URI do Cloud Logging para abrir o explorador de registos.
  2. Se necessário, selecione o seu projeto.
  3. Na página carregada, verifique os registos de atividade de recursos do IAM novos ou atualizados através dos seguintes filtros:
    • protoPayload.methodName="SetIamPolicy"
    • protoPayload.methodName="google.iam.admin.v1.UpdateRole"
    • protoPayload.methodName="google.iam.admin.v1.CreateRole"
    • protoPayload.authenticationInfo.principalEmail="principalEmail"

Passo 4: pesquise métodos de ataque e resposta

  1. Reveja a entrada da framework MITRE ATT&CK para este tipo de descoberta: Contas válidas: contas na nuvem.
  2. Para desenvolver um plano de resposta, combine os resultados da sua investigação com a investigação da MITRE.

Passo 5: implemente a sua resposta

O seguinte plano de resposta pode ser adequado para esta descoberta, mas também pode afetar as operações. Avalie cuidadosamente as informações recolhidas na sua investigação para determinar a melhor forma de resolver as conclusões.

  • Contacte o proprietário do projeto com a conta comprometida.
  • Reveja os campos anomalousLocation, typicalGeolocations e notSeenInLast para verificar se o acesso é anormal e se a conta foi comprometida.
  • Elimine os recursos do projeto criados por contas não autorizadas, como instâncias do Compute Engine, instantâneos, contas de serviço e utilizadores do IAM desconhecidos.
  • Para restringir a criação de novos recursos a regiões específicas, consulte o artigo Restringir localizações de recursos.
  • Para identificar e corrigir funções excessivamente permissivas, use o IAM Recommender.

O que se segue?