Dokumen ini menawarkan panduan informal tentang cara merespons temuan aktivitas mencurigakan di resource AI Anda. Langkah-langkah yang direkomendasikan mungkin tidak sesuai untuk semua temuan dan dapat memengaruhi operasi Anda. Sebelum mengambil tindakan apa pun, Anda harus menyelidiki temuan tersebut, menilai informasi yang Anda kumpulkan, dan memutuskan cara meresponsnya.
Teknik dalam dokumen ini tidak dijamin efektif terhadap ancaman sebelumnya, saat ini, atau di masa mendatang yang Anda hadapi. Untuk memahami alasan Security Command Center tidak memberikan panduan perbaikan resmi untuk ancaman, lihat Memperbaiki ancaman.
Sebelum memulai
- Tinjau temuan. Catat resource yang terpengaruh dan biner, proses, atau library yang terdeteksi.
- Untuk mempelajari lebih lanjut temuan yang sedang Anda selidiki, telusuri temuan tersebut di indeks Temuan ancaman.
Rekomendasi umum
- Hubungi pemilik resource yang terpengaruh.
- Bekerja samalah dengan tim keamanan Anda untuk mengidentifikasi resource yang tidak dikenal, termasuk instance, sesi, akun layanan, dan identitas agen Vertex AI Agent Engine. Menghapus resource yang dibuat dengan akun tidak sah.
- Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan Pemberi Rekomendasi IAM. Menghapus atau menonaktifkan akun yang berpotensi disusupi.
- Untuk tingkat layanan Enterprise, selidiki temuan identitas dan akses.
- Untuk penyelidikan lebih lanjut, Anda dapat menggunakan layanan respons insiden, misalnya, Mandiant.
- Untuk analisis forensik, kumpulkan dan cadangkan log resource yang terpengaruh.
Identitas agen atau akun layanan yang berpotensi disusupi
Untuk menghapus identitas agen yang disusupi, hapus instance Vertex AI Agent Engine yang sesuai.
Nonaktifkan akun layanan yang berpotensi disusupi. Untuk praktik terbaik, lihat Menonaktifkan akun layanan yang tidak digunakan sebelum menghapusnya.
Nonaktifkan kunci akun layanan untuk project yang berpotensi disusupi.
Untuk melihat kapan kunci dan akun layanan Anda terakhir digunakan guna memanggil Google API, gunakan Activity Analyzer. Untuk mengetahui informasi selengkapnya, lihat Melihat penggunaan terbaru untuk kunci dan akun layanan.
Jika Anda yakin bahwa akun layanan tersebut aman untuk dihapus, hapus akun layanan tersebut.
Untuk menggunakan kebijakan organisasi guna membatasi penggunaan akun layanan, lihat Membatasi penggunaan akun layanan.
Untuk menggunakan Identity and Access Management guna membatasi penggunaan akun layanan atau kunci akun layanan, lihat Menolak akses ke resource.
Pemindahan dan ekstraksi
- Mencabut peran untuk principal yang tercantum di baris Email principal dalam detail temuan hingga penyelidikan selesai.
- Untuk menghentikan eksfiltrasi lebih lanjut, tambahkan kebijakan IAM yang ketat ke resource yang terpengaruh.
- Untuk menentukan apakah set data yang terpengaruh memiliki informasi sensitif, periksa set data tersebut dengan Sensitive Data Protection. Anda dapat mengonfigurasi tugas inspeksi untuk mengirimkan hasilnya ke Security Command Center. Bergantung pada jumlah informasi, biaya Perlindungan Data Sensitif bisa cukup besar. Ikuti praktik terbaik untuk menjaga agar biaya Perlindungan Data Sensitif tetap terkendali.
- Gunakan Kontrol Layanan VPC untuk membuat perimeter keamanan di sekitar layanan data seperti BigQuery dan Cloud SQL untuk mencegah transfer data ke project di luar perimeter.
Pembuatan token yang mencurigakan
Validasi kebutuhan pembuatan token lintas project. Jika tidak diperlukan, hapus pengikatan peran IAM di project target yang memberikan izin
iam.serviceAccounts.getAccessToken,iam.serviceAccounts.getOpenIdToken, atauiam.serviceAccounts.implicitDelegationkepada akun utama dari project sumber.Selidiki log yang ditentukan dalam temuan untuk memvalidasi metode pembuatan token yang digunakan oleh workload agentik Anda.
Langkah berikutnya
- Pelajari cara menangani temuan ancaman di Security Command Center.
- Lihat Indeks temuan ancaman.
- Pelajari cara meninjau temuan melalui konsol Google Cloud .
- Pelajari layanan yang menghasilkan temuan ancaman.
- Lihat daftar semua temuan AI.