Esta página se ha traducido con Cloud Translation API.

Responder a las detecciones de amenazas de la IA

En este documento se ofrecen directrices informales sobre cómo responder a las detecciones de actividades sospechosas en tus recursos de IA. Es posible que los pasos recomendados no sean adecuados para todas las conclusiones y que afecten a sus operaciones. Antes de tomar medidas, debes investigar los resultados, evaluar la información que recojas y decidir cómo responder.

No se garantiza que las técnicas de este documento sean eficaces contra las amenazas anteriores, actuales o futuras a las que te enfrentes. Para saber por qué Security Command Center no ofrece orientación oficial sobre cómo corregir las amenazas, consulta el artículo Corregir amenazas.

Antes de empezar

Revisa el resultado. Anota los recursos afectados y los archivos binarios, procesos o bibliotecas detectados.
Para obtener más información sobre la detección que estás investigando, busca la detección en el índice de detecciones de amenazas.

Recomendaciones generales

Ponte en contacto con el propietario del recurso afectado.
Colabora con tu equipo de seguridad para identificar recursos desconocidos, como instancias, sesiones y cuentas de servicio de Vertex AI Agent Engine, así como identidades de agente. Elimina los recursos que se hayan creado con cuentas no autorizadas.
Para identificar y corregir roles con demasiados permisos, usa Recomendador de gestión de identidades y accesos. Elimina o inhabilita las cuentas que puedan estar en peligro.
En el nivel de servicio Enterprise, investiga cualquier resultado de identidad y acceso.
Para investigar más a fondo, puedes usar servicios de respuesta ante incidentes, como Mandiant.
Para realizar un análisis forense, recoja y cree una copia de seguridad de los registros de los recursos afectados.

Cuenta de servicio o identidad de agente potencialmente vulneradas

Para eliminar una identidad de agente vulnerada, elimina la instancia de Vertex AI Agent Engine correspondiente.
Inhabilita la cuenta de servicio que pueda estar en peligro. Para consultar las prácticas recomendadas, consulta el artículo sobre cómo inhabilitar cuentas de servicio sin usar antes de eliminarlas.
Inhabilita las claves de la cuenta de servicio del proyecto que pueda haberse visto afectado.
Para ver cuándo se usaron por última vez sus cuentas de servicio y claves para llamar a una API de Google, utilice Analizador de actividad. Para obtener más información, consulta Ver el uso reciente de claves y cuentas de servicio.
Si tienes la certeza de que es seguro eliminar la cuenta de servicio, elimínala.

Nota: Si la cuenta de servicio vulnerada es un agente de servicio de Vertex AI Agent Engine, no puedes eliminarla directamente. En este caso, asegúrate de que el agente de servicio no tenga más permisos de los que necesita.
Para usar políticas de organización con el fin de restringir el uso de cuentas de servicio, consulta Restringir el uso de cuentas de servicio.
Para usar Identity and Access Management y restringir el uso de cuentas de servicio o claves de cuentas de servicio, consulta Denegar el acceso a los recursos.

Filtración y extracción

Revoca los roles del principal que aparece en la fila Correo del principal de los detalles de la detección hasta que se complete la investigación.
Para detener la exfiltración, añade políticas de gestión de identidades y accesos restrictivas a los recursos afectados.
Para determinar si los conjuntos de datos afectados contienen información sensible, inspecciónalos con Protección de Datos Sensibles. Puede configurar el trabajo de inspección para enviar los resultados a Security Command Center. En función de la cantidad de información, los costes de Protección de Datos Sensibles pueden ser significativos. Sigue las prácticas recomendadas para controlar los costes de Protección de Datos Sensibles.
Usa Controles de Servicio de VPC para crear perímetros de seguridad alrededor de servicios de datos como BigQuery y Cloud SQL, y así evitar que se transfieran datos a proyectos que estén fuera del perímetro.

Generación de tokens sospechosa

Valida la necesidad de generar tokens entre proyectos. Si no es necesario, elimina la vinculación del rol de gestión de identidades y accesos en el proyecto de destino que concede los permisos iam.serviceAccounts.getAccessToken, iam.serviceAccounts.getOpenIdToken o iam.serviceAccounts.implicitDelegation al principal del proyecto de origen.
Investiga los registros especificados en el resultado para validar los métodos de generación de tokens que usan tus cargas de trabajo de agente.

Siguientes pasos

Consulta cómo trabajar con las detecciones de amenazas en Security Command Center.
Consulta el índice de hallazgos de amenazas.
Consulta cómo revisar un resultado a través de la consola de Google Cloud .
Consulta información sobre los servicios que generan detecciones de amenazas.

Consulta una lista de todos los resultados de la IA.