Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Rispondere ai risultati delle minacce dell'AI

Questo documento offre indicazioni informali su come rispondere ai risultati di attività sospette nelle risorse AI. I passaggi consigliati potrebbero non essere appropriati per tutti i risultati e potrebbero influire sulle tue operazioni. Prima di intraprendere qualsiasi azione, devi esaminare i risultati, valutare le informazioni raccolte e decidere come rispondere.

Prima di iniziare

Rivedi il risultato. Prendi nota delle risorse interessate e dei file binari, dei processi o delle librerie rilevati.
Per scoprire di più sul risultato che stai esaminando, cercalo nell'indice dei risultati delle minacce.

Consigli generali

Contatta il proprietario della risorsa interessata.
Collabora con il tuo team di sicurezza per identificare risorse sconosciute, tra cui istanze di Agent Runtime, sessioni, service account e identità degli agenti. Elimina le risorse create con account non autorizzati.
Per identificare e correggere i ruoli eccessivamente permissivi, utilizza IAM Recommender. Elimina o disattiva gli account potenzialmente compromessi.
Per i livelli di servizio Standard legacy, Standard, Premium ed Enterprise, esamina i risultati relativi a identità e accesso.
Per ulteriori indagini, puoi utilizzare i servizi di risposta agli incidenti, ad esempio Mandiant.
Per l'analisi forense, raccogli ed esegui il backup dei log delle risorse interessate.

Account di servizio o identità dell'agente potenzialmente compromessi

Per rimuovere un'identità agente compromessa, elimina l'istanza di Agent Runtime corrispondente.
Disattiva il service account potenzialmente compromesso. Per le best practice, consulta Disattivare i service account inutilizzati prima di eliminarli.
Disattiva le account di servizio account per il progetto potenzialmente compromesso.
Per vedere quando i tuoi service account e le tue chiavi sono stati utilizzati l'ultima volta per chiamare un'API di Google, utilizza l'analizzatore attività. Per ulteriori informazioni, consulta Visualizzazione dell'utilizzo recente di chiavi e service account.
Se ritieni che sia sicuro eliminare il account di servizio, eliminalo.

Nota: se il account di servizio compromesso è un service agent Agent Runtime, non puoi eliminarlo direttamente. In questo caso, assicurati che il service agent non disponga di più autorizzazioni di quelle necessarie.
Per utilizzare le policy dell'organizzazione per limitare l'utilizzo dei account di servizio, consulta Limitazione account di servizio account.
Per utilizzare Identity and Access Management per limitare l'utilizzo di account di servizio o chiavi del account di servizio, consulta Negare l'accesso alle risorse.

Esfiltrazione ed estrazione

Revoca dei ruoli per l'entità elencata nella riga Email entità nei dettagli del risultato fino al completamento dell'indagine.
Per interrompere l'ulteriore esfiltrazione, aggiungi criteri IAM restrittivi alle risorse interessate.
Per determinare se i set di dati interessati contengono informazioni sensibili, ispezionali con Sensitive Data Protection. Puoi configurare il job di ispezione in modo da inviare i risultati a Security Command Center. A seconda della quantità di informazioni, i costi di Sensitive Data Protection possono essere significativi. Segui le best practice per tenere sotto controllo i costi di Sensitive Data Protection.
Utilizza i controlli di servizio VPC per creare perimetri di sicurezza attorno a servizi di dati come BigQuery e Cloud SQL per impedire i trasferimenti di dati a progetti al di fuori del perimetro.

Generazione token sospetta

Verifica la necessità di generare token tra progetti. Se non è necessario, rimuovi l'associazione del ruolo IAM nel progetto di destinazione che concede l'autorizzazione iam.serviceAccounts.getAccessToken, iam.serviceAccounts.getOpenIdToken, iam.serviceAccounts.implicitDelegation o iam.serviceAccounts.signJwt all'entità dal progetto di origine.
Esamina i log specificati nel risultato per convalidare i metodi di generazione dei token utilizzati dai carichi di lavoro agentic.

Ruoli o autorizzazioni IAM sensibili concessi

Utilizza il servizio Criteri dell'organizzazione per limitare le identità con la condivisione con limitazioni del dominio.
Per identificare e correggere i ruoli eccessivamente permissivi, utilizza IAM Recommender.

Passaggi successivi

Scopri come utilizzare i risultati relativi alle minacce in Security Command Center.
Consulta l'indice dei risultati delle minacce.
Scopri come esaminare un risultato tramite la console Google Cloud .
Scopri i servizi che generano risultati di minacce.

Fai riferimento a un elenco di tutti i risultati dell'AI.