Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Cómo responder a los resultados de amenazas de la IA

En este documento, se ofrece orientación informal sobre cómo puedes responder a los hallazgos de actividades sospechosas en tus recursos de IA. Es posible que los pasos recomendados no sean adecuados para todos los hallazgos y que afecten tus operaciones. Antes de tomar cualquier medida, debes investigar los hallazgos, evaluar la información que recopiles y decidir cómo responder.

No se garantiza que las técnicas de este documento sean efectivas contra cualquier amenaza anterior, actual o futura que te encuentres. Para comprender por qué Security Command Center no proporciona una guía oficial de solución de amenazas, consulta Soluciona amenazas.

Antes de comenzar

Revisa el hallazgo. Ten en cuenta los recursos afectados y los objetos binarios, los procesos o las bibliotecas detectados.
Para obtener más información sobre el hallazgo que estás investigando, busca el hallazgo en el Índice de hallazgos de amenazas.

Recomendaciones generales

Comunícate con el propietario del recurso afectado.
Trabaja con tu equipo de seguridad para identificar recursos desconocidos, incluidas instancias de Agent Runtime, sesiones, cuentas de servicio y identidades de agentes. Borra los recursos que se crearon con cuentas no autorizadas.
Para identificar y corregir los roles demasiado permisivos, usa el recomendador de IAM. Borra o inhabilita las cuentas que podrían estar vulneradas.
Para los niveles de servicio Standard-legacy, Standard, Premium y Enterprise, investiga cualquier hallazgo de identidad y acceso.
Para hacer una investigación más exhaustiva, puedes usar servicios de respuesta ante incidentes, por ejemplo, Mandiant.
Para el análisis forense, recopila y crea copias de seguridad de los registros de los recursos afectados.

Cuenta de servicio o identidad del agente potencialmente vulnerada

Para quitar una identidad del agente vulnerada, borra su correspondiente instancia de Agent Runtime.
Inhabilita la cuenta de servicio que podría estar vulnerada. Si deseas conocer las prácticas recomendadas, consulta Inhabilita las cuentas de servicio que no se usen antes de borrarlas.
Inhabilita las claves de cuentas de servicio para el proyecto que podría estar vulnerado.
Para ver cuándo se usaron tus cuentas y claves de servicio por última vez para llamar a una API de Google, usa el Analizador de actividades. Para obtener más información, consulta Consulta el uso reciente de las cuentas y claves de servicio.
Si estás seguro de que es seguro borrar la cuenta de servicio, bórrala.

Nota: Si la cuenta de servicio vulnerada es un agente de servicio de Agent Runtime service agent, no puedes borrarla directamente. En este caso, asegúrate de que el agente de servicio no tenga más permisos de los que necesita.
Para usar políticas de la organización para restringir el uso de cuentas de servicio, consulta Restringe el uso de las cuentas de servicio.
Para usar Identity and Access Management para restringir el uso de cuentas de servicio o claves de cuentas de servicio, consulta Deniega el acceso a los recursos.

Robo y extracción de datos

Revoca las funciones de la principal que aparece en la fila Correo electrónico de la principal en los detalles del hallazgo hasta que se complete la investigación.
Para detener el robo de datos, agrega políticas de IAM restrictivas a los recursos afectados.
Para determinar si los conjuntos de datos afectados tienen información sensible, inspecciónalos con Sensitive Data Protection. Puedes configurar el trabajo de inspección para enviar los resultados a Security Command Center. Según la cantidad de información, los costos de Sensitive Data Protection pueden ser significativos. Sigue las prácticas recomendadas para mantener los costos de Sensitive Data Protection bajo control.
Usa los Controles del servicio de VPC para crear perímetros de seguridad alrededor de los servicios de datos, como BigQuery y Cloud SQL, para evitar las transferencias de datos a proyectos fuera del perímetro.

Generación sospechosa de tokens

Valida la necesidad de generar tokens entre proyectos. Si no es necesario, quita la vinculación de roles de IAM en el proyecto de destino que otorga el permiso iam.serviceAccounts.getAccessToken, iam.serviceAccounts.getOpenIdToken, iam.serviceAccounts.implicitDelegation o iam.serviceAccounts.signJwt a la principal del proyecto de origen.
Investiga los registros que se especifican en el hallazgo para validar los métodos de generación de tokens que usan tus cargas de trabajo de agentes.

Se otorgaron roles o permisos sensibles de IAM

Usa el servicio de políticas de la organización para restringir las identidades con el uso compartido restringido por dominio.
Para identificar y corregir los roles demasiado permisivos, usa el recomendador de IAM.

¿Qué sigue?

Aprende a trabajar con los hallazgos de amenazas en Security Command Center.
Consulta el Índice de hallazgos de amenazas.
Aprende a revisar un hallazgo con la consola de Google Cloud .
Obtén información sobre los servicios que generan hallazgos de amenazas.

Consulta una lista de todos los hallazgos de IA.