Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Merespons temuan ancaman AI

Dokumen ini menawarkan panduan informal tentang cara merespons temuan aktivitas mencurigakan di resource AI Anda. Langkah-langkah yang direkomendasikan mungkin tidak sesuai untuk semua temuan dan dapat memengaruhi operasi Anda. Sebelum mengambil tindakan apa pun, Anda harus menyelidiki temuan tersebut, menilai informasi yang Anda kumpulkan, dan memutuskan cara merespons.

Teknik dalam dokumen ini tidak dijamin efektif terhadap ancaman sebelumnya, saat ini, atau di masa mendatang yang Anda hadapi. Untuk memahami alasan Security Command Center tidak memberikan panduan perbaikan resmi untuk ancaman, lihat Memperbaiki ancaman.

Sebelum memulai

Tinjau temuan. Perhatikan resource yang terpengaruh dan biner, proses, atau library yang terdeteksi.
Untuk mempelajari lebih lanjut temuan yang Anda selidiki, telusuri temuan tersebut di Indeks temuan ancaman.

Rekomendasi umum

Hubungi pemilik resource yang terpengaruh.
Bekerja samalah dengan tim keamanan Anda untuk mengidentifikasi resource yang tidak dikenal, termasuk instance Runtime Agen, sesi, akun layanan, dan identitas agen. Hapus resource yang dibuat dengan akun yang tidak sah.
Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan IAM Recommender. Hapus atau nonaktifkan akun yang berpotensi disusupi.
Untuk tingkat layanan Standard-legacy, Standard, Premium, dan Enterprise, selidiki temuan identitas dan aksesapa pun.
Untuk penyelidikan lebih lanjut, Anda dapat menggunakan layanan respons insiden, misalnya, Mandiant.
Untuk analisis forensik, kumpulkan dan buat cadangan log resource yang terpengaruh.

Akun layanan atau identitas agen yang berpotensi disusupi

Untuk menghapus identitas agen yang disusupi, hapus instance Runtime Agen yang sesuai.
Nonaktifkan akun layanan yang berpotensi disusupi. Untuk praktik terbaik, lihat Menonaktifkan akun layanan yang tidak digunakan sebelum menghapus nya.
Nonaktifkan kunci akun layanan untuk project yang berpotensi disusupi.
Untuk melihat kapan kunci dan akun layanan Anda terakhir digunakan untuk memanggil Google API, gunakan Activity Analyzer. Untuk mengetahui informasi selengkapnya, lihat Melihat penggunaan terbaru untuk akun layanan dan kunci.
Jika Anda yakin bahwa akun layanan aman untuk dihapus, hapus akun tersebut.

Catatan: Jika akun layanan yang disusupi adalah agen layanan Runtime Agen , Anda tidak dapat menghapusnya secara langsung. Dalam hal ini, pastikan agen layanan tidak memiliki lebih banyak izin daripada yang diperlukan.
Untuk menggunakan kebijakan organisasi guna membatasi penggunaan akun layanan, lihat Membatasi penggunaan akun layanan.
Untuk menggunakan Identity and Access Management guna membatasi penggunaan akun layanan atau kunci akun layanan, lihat Menolak akses ke resource.

Pemindahan dan ekstraksi

Cabut peran untuk principal yang tercantum di baris Email principal dalam detail temuan hingga penyelidikan selesai.
Untuk menghentikan pemindahan lebih lanjut, tambahkan kebijakan IAM yang ketat ke resource yang terpengaruh.
Untuk menentukan apakah set data yang terpengaruh memiliki informasi sensitif, periksa dengan Perlindungan Data Sensitif. Anda dapat mengonfigurasi tugas pemeriksaan untuk mengirimkan hasilnya ke Security Command Center. Bergantung pada jumlah informasi, biaya Perlindungan Data Sensitif dapat menjadi signifikan. Ikuti praktik terbaik untuk menjaga biaya Perlindungan Data Sensitif tetap terkendali.
Gunakan Kontrol Layanan VPC untuk membuat perimeter keamanan di sekitar layanan data seperti BigQuery dan Cloud SQL guna mencegah transfer data ke project di luar perimeter.

Pembuatan token yang mencurigakan

Validasi kebutuhan pembuatan token lintas project. Jika tidak diperlukan, hapus binding peran IAM di project target yang memberikan izin iam.serviceAccounts.getAccessToken, iam.serviceAccounts.getOpenIdToken, iam.serviceAccounts.implicitDelegation, atau iam.serviceAccounts.signJwt kepada principal dari project sumber.
Selidiki log yang ditentukan dalam temuan untuk memvalidasi metode pembuatan token yang digunakan oleh workload agen Anda.

Peran atau izin IAM sensitif yang diberikan

Gunakan Layanan Kebijakan Organisasi untuk membatasi identitas dengan berbagi yang dibatasi domain.
Untuk mengidentifikasi dan memperbaiki peran yang terlalu permisif, gunakan IAM Recommender.

Langkah berikutnya

Pelajari cara menggunakan temuan ancaman di Security Command Center.
Lihat Indeks temuan ancaman.
Pelajari cara meninjau temuan melalui Google Cloud konsol.
Pelajari tentang layanan yang menghasilkan temuan ancaman.

Lihat daftar semua temuan AI.