Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Répondre aux résultats de détection des menaces liées à l'IA

Ce document fournit des conseils informels sur la façon de réagir aux activités suspectes détectées dans vos ressources d'IA. Les procédures recommandées peuvent ne pas convenir pour tous les résultats et peuvent avoir un impact sur vos opérations. Avant d'agir, vous devez examiner les résultats, évaluer les informations que vous avez recueillies et décider de votre plan d'action.

L'efficacité des techniques décrites dans ce document contre les menaces passées, actuelles ou futures n'est pas garantie. Pour savoir pourquoi Security Command Center ne fournit pas de conseils officiels pour l'éradication des menaces, consultez Corriger les menaces.

Avant de commencer

Examinez le résultat. Notez les ressources concernées et les binaires, processus ou bibliothèques détectés.
Pour en savoir plus sur le résultat que vous examinez, recherchez-le dans l'index des menaces constatées.

Recommandations générales

Contactez le propriétaire de la ressource concernée.
Collaborez avec votre équipe de sécurité pour identifier les ressources inconnues, y compris les instances, les sessions, les comptes de service et les identités d'agent Agent Runtime. Supprimez les ressources qui ont été créées avec des comptes non autorisés.
Pour identifier et corriger les rôles trop permissifs, utilisez l'outil de recommandation IAM. Supprimez ou désactivez les comptes potentiellement compromis.
Pour les niveaux de service Standard (hérité), Standard, Premium et Enterprise, examinez tous les résultats d'identité et d'accès.
Pour approfondir l'enquête, vous pouvez utiliser des services de réponse aux incidents, par exemple, Mandiant.
Pour l'analyse forensique, collectez et sauvegardez les journaux des ressources concernées.

Compte de service ou identité d'agent potentiellement compromis

Pour supprimer une identité d'agent compromise, supprimez l'instance Agent Runtime correspondante.
Désactivez le compte de service potentiellement compromis. Pour connaître les bonnes pratiques, consultez Désactiver les comptes de service inutilisés avant de les supprimer.
Désactivez les clés de compte de service pour le projet potentiellement compromis.
Pour savoir quand vos clés et vos comptes de service ont été utilisés pour la dernière fois pour appeler une API Google, utilisez Activity Analyzer. Pour en savoir plus, consultez Afficher l'utilisation récente des comptes de service et des clés.
Si vous êtes sûr qu'il est sûr de supprimer le compte de service, supprimez-le.

Remarque : Si le compte de service compromis est un agent de service Agent Runtime , vous ne pouvez pas le supprimer directement. Dans ce cas, assurez-vous que l'agent de service ne dispose pas d'autorisations supplémentaires.
Pour utiliser des règles d'administration afin de limiter l'utilisation des comptes de service, consultez Limiter l'utilisation des comptes de service.
Pour utiliser Identity and Access Management afin de limiter l'utilisation des comptes de service ou des clés de compte de service, consultez Refuser l'accès aux ressources.

Exfiltration et extraction

Révoquez les rôles pour le compte principal listé dans la ligne Adresse e-mail du compte principal des détails du résultat jusqu'à la fin de l'enquête.
Pour mettre fin à toute exfiltration, ajoutez des stratégies IAM restrictives sur les ressources concernées.
Pour déterminer si les ensembles de données concernés contiennent des informations sensibles, inspectez-les avec Sensitive Data Protection. Vous pouvez configurer la tâche d'inspection pour envoyer les résultats à Security Command Center. Selon la quantité d'informations, les coûts liés à Sensitive Data Protection peuvent être importants. Suivez les bonnes pratiques pour contrôler les coûts liés à Sensitive Data Protection .
Utilisez VPC Service Controls pour créer des périmètres de sécurité autour des services de données tels que BigQuery et Cloud SQL afin d'empêcher les transferts de données vers des projets situés en dehors du périmètre.

Génération de jetons suspects

Vérifiez si la génération de jetons inter-projets est nécessaire. Si ce n'est pas le cas, supprimez la liaison de rôle IAM dans le projet cible qui accorde l'autorisation iam.serviceAccounts.getAccessToken, iam.serviceAccounts.getOpenIdToken, iam.serviceAccounts.implicitDelegation ou iam.serviceAccounts.signJwt au compte principal du projet source.
Examinez les journaux spécifiés dans le résultat pour valider les méthodes de génération de jetons utilisées par vos charges de travail d'agent.

Rôles ou autorisations IAM sensibles accordés

Utilisez Organization Policy Service pour limiter les identités avec le partage limité par domaine.
Pour identifier et corriger les rôles trop permissifs, utilisez l'outil de recommandation IAM.

Étapes suivantes

Découvrez comment travailler avec les résultats de détection de menace dans Security Command Center.
Consultez l'index des résultats de détection de menace.
Découvrez comment examiner un résultat dans la console Google Cloud .
Apprenez-en plus sur les services qui génèrent des résultats de détection de menace.

Consultez la liste de tous les résultats d'IA.