Questa pagina è stata tradotta dall'API Cloud Translation.

Rispondere ai risultati delle minacce dell'AI

Questo documento offre indicazioni informali su come rispondere ai risultati di attività sospette nelle risorse AI. I passaggi consigliati potrebbero non essere appropriati per tutti i risultati e potrebbero influire sulle tue operazioni. Prima di intraprendere qualsiasi azione, devi esaminare i risultati, valutare le informazioni raccolte e decidere come rispondere.

Non è garantito che le tecniche descritte in questo documento siano efficaci contro minacce passate, attuali o future che potresti affrontare. Per capire perché Security Command Center non fornisce indicazioni ufficiali per la correzione delle minacce, vedi Correzione delle minacce.

Prima di iniziare

Rivedi il risultato. Prendi nota delle risorse interessate e dei file binari, dei processi o delle librerie rilevati.
Per scoprire di più sul risultato che stai esaminando, cerca il risultato nell'indice dei risultati delle minacce.

Consigli generali

Contatta il proprietario della risorsa interessata.
Collabora con il tuo team di sicurezza per identificare risorse sconosciute, tra cui istanze, sessioni, service account e identità dell'agente di Vertex AI Agent Engine. Elimina le risorse create con account non autorizzati.
Per identificare e correggere i ruoli eccessivamente permissivi, utilizza IAM Recommender. Elimina o disattiva gli account potenzialmente compromessi.
Per il livello di servizio Enterprise, esamina i risultati relativi a identità e accesso.
Per ulteriori indagini, puoi utilizzare i servizi di risposta agli incidenti, ad esempio Mandiant.
Per l'analisi forense, raccogli ed esegui il backup dei log delle risorse interessate.

Identità dell'agente o del account di servizio potenzialmente compromessa

Per rimuovere un'identità dell'agente compromessa, elimina l'istanza Vertex AI Agent Engine corrispondente.
Disattiva il service account potenzialmente compromesso. Per le best practice, consulta Disattivare i service account inutilizzati prima di eliminarli.
Disattiva le account di servizio account per il progetto potenzialmente compromesso.
Per vedere quando i tuoi service account e le tue chiavi sono stati utilizzati l'ultima volta per chiamare un'API di Google, utilizza l'analizzatore attività. Per maggiori informazioni, vedi Visualizzazione dell'utilizzo recente di chiavi e account di servizio.
Se ritieni che sia sicuro eliminare il account di servizio, eliminalo.

Nota: se l'account di servizio compromesso è un service agent di Vertex AI Agent Engine, non puoi eliminarlo direttamente. In questo caso, assicurati che il service agent non disponga di più autorizzazioni di quelle necessarie.
Per utilizzare le policy dell'organizzazione per limitare l'utilizzo dei account di servizio, consulta Limitazione account di servizio account.
Per utilizzare Identity and Access Management per limitare l'utilizzo di account di servizio o chiavi del account di servizio, consulta Nega l'accesso alle risorse.

Esfiltrazione ed estrazione

Revoca dei ruoli per l'entità elencata nella riga Email entità nei dettagli del problema fino al completamento dell'indagine.
Per interrompere l'ulteriore esfiltrazione, aggiungi criteri IAM restrittivi alle risorse interessate.
Per determinare se i set di dati interessati contengono informazioni sensibili, ispezionali con Sensitive Data Protection. Puoi configurare il job di ispezione in modo da inviare i risultati a Security Command Center. A seconda della quantità di informazioni, i costi di Sensitive Data Protection possono essere significativi. Segui le best practice per tenere sotto controllo i costi di Sensitive Data Protection.
Utilizza i controlli di servizio VPC per creare perimetri di sicurezza attorno ai servizi di dati come BigQuery e Cloud SQL per impedire i trasferimenti di dati a progetti al di fuori del perimetro.

Generazione token sospetta

Convalida la necessità di generare token tra progetti. Se non è necessario, rimuovi l'associazione di ruoli IAM nel progetto di destinazione che concede l'autorizzazione iam.serviceAccounts.getAccessToken, iam.serviceAccounts.getOpenIdToken o iam.serviceAccounts.implicitDelegation al principal dal progetto di origine.
Esamina i log specificati nel risultato per convalidare i metodi di generazione dei token utilizzati dai carichi di lavoro agentici.

Passaggi successivi

Scopri come utilizzare i risultati relativi alle minacce in Security Command Center.
Consulta l'indice dei risultati delle minacce.
Scopri come esaminare un risultato tramite la console Google Cloud .
Scopri i servizi che generano risultati di minacce.

Consulta un elenco di tutti i risultati dell'AI.