Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

תגובה לממצאי איומים מ-AI

במסמך הזה אנחנו מציעים הנחיות לא רשמיות לגבי האופן שבו אפשר להגיב לממצאים של פעילויות חשודות במשאבי ה-AI שלכם. יכול להיות שהשלבים המומלצים לא יתאימו לכל הממצאים, ושהם ישפיעו על הפעולות שלכם. לפני שתבצעו פעולה כלשהי, כדאי לבדוק את הממצאים, להעריך את המידע שאספתם ולהחליט איך להגיב.

אין ערובה לכך שהטכניקות שמתוארות במסמך הזה יהיו יעילות נגד איומים קודמים, נוכחיים או עתידיים שתיתקלו בהם. כדי להבין למה Security Command Center לא מספק הנחיות רשמיות לטיפול באיומים, אפשר לעיין במאמר בנושא טיפול באיומים.

לפני שמתחילים

בדיקת הממצא. שימו לב למשאבים שהושפעו ולקבצים הבינאריים, לתהליכים או לספריות שזוהו.
כדי לקבל מידע נוסף על הממצא שאתם בודקים, חפשו את הממצא באינדקס של ממצאי איומים.

המלצות כלליות

פונים לבעלים של המשאב המושפע.
כדאי לעבוד עם צוות האבטחה כדי לזהות משאבים לא מוכרים, כולל מופעים של Vertex AI Agent Engine, סשנים, חשבונות שירות וזהויות של סוכנים. מחיקת משאבים שנוצרו באמצעות חשבונות לא מורשים.
כדי לזהות ולתקן תפקידים עם יותר מדי הרשאות, אפשר להשתמש בשירות המלצות IAM. למחוק או להשבית חשבונות שנפרצו.
במהדורת Enterprise, כדאי לבדוק את הממצאים שקשורים לזהות ולגישה.
כדי לחקור לעומק, אפשר להשתמש בשירותי תגובה לאירועים, למשל Mandiant.
לצורך ניתוח פורנזי, אוספים את היומנים של המשאבים המושפעים ומגבים אותם.

זהות של חשבון שירות או סוכן שנפרצו

כדי להסיר זהות של סוכן שנפרצה, צריך למחוק את המופע התואם של Vertex AI Agent Engine.
משביתים את חשבון השירות שנפרץ. שיטות מומלצות להשבתה של חשבונות שירות שלא בשימוש לפני המחיקה שלהם
השבתה של מפתחות לחשבונות שירות בפרויקט שעלול להיות פרוץ.
כדי לראות מתי נעשה שימוש לאחרונה בחשבונות השירות ובמפתחות שלכם כדי לבצע קריאה ל-Google API, אפשר להשתמש ב-Activity Analyzer. מידע נוסף זמין במאמר הצגת פרטי השימוש האחרונים בחשבונות שירות ובמפתחות.
אם אתם בטוחים שאפשר למחוק את חשבון השירות, אתם יכולים למחוק אותו.

הערה: אם חשבון השירות שנפרץ הוא סוכן שירות של Vertex AI Agent Engine, אי אפשר למחוק אותו ישירות. במקרה כזה, חשוב לוודא שלסוכן השירות לא יהיו יותר הרשאות ממה שהוא צריך.
כדי להשתמש במדיניות הארגון כדי להגביל את השימוש בחשבונות שירות, ראו הגבלת השימוש בחשבונות שירות.
כדי להשתמש בניהול זהויות והרשאות גישה כדי להגביל את השימוש בחשבון שירות או במפתח של חשבון שירות, אפשר לעיין במאמר דחיית גישה למשאבים.

זליגת נתונים וחילוץ נתונים

שלילת הרשאות מהמשתמש שמופיע בשורה Principal email בפרטי הממצאים עד לסיום החקירה.
כדי למנוע העברה לא מורשית נוספת, מוסיפים מדיניות IAM מגבילה למשאבים המושפעים.
כדי לקבוע אם מערכי הנתונים המושפעים מכילים מידע אישי רגיש, צריך לבדוק אותם באמצעות Sensitive Data Protection. אתם יכולים להגדיר את עבודת הבדיקה כך שהתוצאות יישלחו אל Security Command Center. העלויות של Sensitive Data Protection יכולות להיות משמעותיות, בהתאם לכמות המידע. פועלים לפי השיטות המומלצות לשליטה בעלויות של Sensitive Data Protection.
בעזרת VPC Service Controls תוכלו ליצור מתחמי אבטחה היקפית מסביב לשירותי נתונים כמו BigQuery ו-Cloud SQL, וכך למנוע העברת נתונים לפרויקטים מחוץ למתחם.

יצירת טוקן חשודה

מוודאים שיש צורך ביצירת אסימון בין פרויקטים. אם אין צורך בכך, מסירים את הקישור של תפקיד IAM בפרויקט היעד שמעניק את ההרשאה iam.serviceAccounts.getAccessToken,‏ iam.serviceAccounts.getOpenIdToken,‏ iam.serviceAccounts.implicitDelegation או iam.serviceAccounts.signJwt לחשבון הראשי מפרויקט המקור.
כדאי לבדוק את היומנים שצוינו בתוצאת הבדיקה כדי לאמת את השיטות ליצירת טוקנים שבהן נעשה שימוש בעומסי העבודה של הסוכן.

המאמרים הבאים

איך עובדים עם ממצאי איומים ב-Security Command Center
אפשר לעיין באינדקס של ממצאי איומים.
איך בודקים ממצא דרך מסוף Google Cloud .
מידע על השירותים שמפיקים ממצאים לגבי איומים

רשימה של כל הממצאים שקשורים ל-AI