Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Auf KI-Bedrohungsergebnisse reagieren

Dieses Dokument enthält informelle Anleitungen dazu, wie Sie auf Ergebnisse verdächtiger Aktivitäten in Ihren KI-Ressourcen reagieren können. Die empfohlenen Schritte sind möglicherweise nicht für alle Ergebnisse geeignet und können sich auf Ihre Abläufe auswirken. Bevor Sie Maßnahmen ergreifen, sollten Sie die Ergebnisse untersuchen, die erhobenen Informationen bewerten und entscheiden, wie Sie reagieren möchten.

Die Techniken in diesem Dokument sind nicht zwangsläufig gegen frühere, aktuelle oder zukünftige Bedrohungen wirksam. Unter Bedrohungen beheben erfahren Sie, warum Security Command Center keine offizielle Korrekturmaßnahme für Bedrohungen bietet.

Hinweis

Ergebnis überprüfen. Notieren Sie sich die betroffenen Ressourcen und die erkannten Binärdateien, Prozesse oder Bibliotheken.
Wenn Sie mehr über das Ergebnis erfahren möchten, das Sie untersuchen, sehen Sie im Index der Bedrohungsergebnisse nach.

Allgemeine Empfehlungen

Wenden Sie sich an den Inhaber der betroffenen Ressource.
Ermitteln Sie gemeinsam mit Ihrem Sicherheitsteam unbekannte Ressourcen, einschließlich Agent Runtime-Instanzen, Sitzungen, Dienstkonten und Agent-Identitäten. Löschen Sie Ressourcen, die mit nicht autorisierten Konten erstellt wurden.
Um IAM-Rollen mit zu vielen Berechtigungen zu identifizieren und zu beheben, verwenden Sie IAM Recommender. Löschen oder deaktivieren Sie potenziell manipulierte Konten.
Untersuchen Sie bei den Dienststufen Standard-Legacy, Standard, Premium und Enterprise alle Ergebnisse zu Identität und Zugriff.
Für weitere Untersuchungen können Sie Incident-Response-Services verwenden, z. B. Mandiant.
Erheben und sichern Sie die Logs der betroffenen Ressourcen für die forensische Analyse.

Potenziell manipuliertes Dienstkonto oder potenziell manipulierte Agent-Identität

Wenn Sie eine manipulierte Agent-Identität entfernen möchten, löschen Sie die entsprechende Agent Runtime Instanz.
Deaktivieren Sie das potenziell manipulierte Dienst konto. Best Practices finden Sie unter Nicht verwendete Dienstkonten deaktivieren, bevor sie gelöscht werden.
Dienstkontoschlüssel deaktivieren für das potenziell manipulierte Projekt.
Mit der Aktivitätsanalyse können Sie feststellen, wann Ihre Dienstkonten und Schlüssel zuletzt zum Aufrufen einer Google API verwendet wurden. Weitere Informationen finden Sie unter Aktuelle Nutzung von Dienstkonten und Schlüsseln ansehen.
Wenn Sie sicher sind, dass Sie das Dienstkonto gefahrlos löschen können, löschen Sie es.

**Hinweis** :Wenn das manipulierte Dienstkonto ein Agent Runtime Dienst-Agent ist, können Sie es nicht direkt löschen. In diesem Fall müssen Sie dafür sorgen, dass der Dienst-Agent nicht mehr Berechtigungen hat als erforderlich.
Informationen zum Einschränken der Dienstkontonutzung mit Organisationsrichtlinien finden Sie unter Nutzung von Dienstkonten einschränken.
Informationen zum Einschränken der Nutzung von Dienstkonten oder Dienstkontoschlüsseln mit Identity and Access Management, siehe Zugriff auf Ressourcen verweigern.

Exfiltration und Extraktion

Widerrufen Sie die Rollen für das Hauptkonto, das in den Ergebnisdetails in der Zeile E-Mail-Adresse des Hauptkontos aufgeführt ist, bis die Untersuchung abgeschlossen ist.
Um eine weitere Exfiltration zu stoppen, fügen Sie den betroffenen Ressourcen restriktive IAM-Richtlinien hinzu.
Prüfen Sie mit Sensitive Data Protection, ob die betroffenen Datasets vertrauliche Informationen enthalten. Prüfen Sie sie mit Sensitive Data Protection. Sie können den Prüfjob so konfigurieren, dass die Ergebnisse an Security Command Center gesendet werden. Abhängig von der Menge der Informationen können die Kosten für Sensitive Data Protection erheblich sein. Halten Sie sich an Best Practices, um die Kosten für Sensitive Data Protection zu kontrollieren.
Verwenden Sie VPC Service Controls, um Sicherheitsperimeter um Datendienste wie BigQuery und Cloud SQL zu erstellen, um Datenübertragungen zu Projekten außerhalb des Perimeters zu verhindern.

Verdächtige Tokengenerierung

Prüfen Sie, ob die projektübergreifende Tokengenerierung erforderlich ist. Wenn sie nicht erforderlich ist, entfernen Sie die IAM-Rollenbindung im Zielprojekt, die dem Hauptkonto aus dem Quellprojekt die Berechtigung iam.serviceAccounts.getAccessToken, iam.serviceAccounts.getOpenIdToken, iam.serviceAccounts.implicitDelegation oder iam.serviceAccounts.signJwt gewährt.
Untersuchen Sie die im Ergebnis angegebenen Logs, um die von Ihren Agent-basierten Arbeitslasten verwendeten Tokengenerierungsmethoden zu prüfen.

Vertrauliche IAM-Rollen oder ‑Berechtigungen gewährt

Verwenden Sie den Organization Policy Service, um Identitäten mit domainbeschränkter Freigabe einzuschränken.
Um IAM-Rollen mit zu vielen Berechtigungen zu identifizieren und zu beheben, verwenden Sie IAM Recommender.

Nächste Schritte

Informationen zum Arbeiten mit Bedrohungsergebnissen in Security Command Center
Weitere Informationen finden Sie im Index der Bedrohungsergebnisse.
Informationen zum Überprüfen von Ergebnissen über die Google Cloud Console
Erfahren Sie mehr über die Dienste, die Bedrohungsergebnisse generieren.

Liste aller KI-Ergebnisse