Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

AI 위협 발견 사항에 대응하기

이 문서는 AI 리소스에서 의심스러운 활동의 발견 사항에 대응하는 방법에 관한 비공식 가이드를 제공합니다. 권장 단계가 모든 발견 사항에 적합하지 않을 수 있으며 작업에 영향을 미칠 수 있습니다. 조치를 취하기 전에 발견 사항을 조사하고 수집한 정보를 평가하고 어떻게 대응할지 결정해야 합니다.

이 문서의 기법이 과거, 현재 또는 미래의 모든 위협에 대해 효과적이라고 보장할 수는 없습니다. Security Command Center에서 위협에 대한 공식 해결 방법을 제공하지 않는 이유를 알아보려면 위협 해결을 확인하세요.

시작하기 전에

발견 사항을 검토합니다. 영향을 받는 리소스와 감지된 바이너리, 프로세스 또는 라이브러리를 기록합니다.
조사 중인 발견 사항에 대해 자세히 알아보려면 위협 발견 사항 색인에서 발견 사항을 검색합니다.

일반 권장사항

영향을 받는 리소스의 소유자에게 문의하세요.
보안팀과 협력하여 익숙하지 않은 리소스를 확인합니다. 여기에는 Agent Runtime 인스턴스, 세션, 서비스 계정, 그리고 에이전트 ID가 포함됩니다. 승인되지 않은 계정으로 생성된 리소스를 삭제합니다.
과도한 권한이 부여된 역할을 식별하고 수정하려면 IAM 추천자를 사용합니다. 잠재적으로 침해된 계정을 삭제하거나 사용 중지합니다.
Standard-legacy, Standard, Premium, Enterprise 서비스 등급의 경우 ID 및 액세스 발견 사항을 조사합니다.
추가 조사를 위해 예를 들어 Mandiant와 같은 사고 대응 서비스를 사용할 수 있습니다.
포렌식 분석을 위해 영향을 받는 리소스의 로그를 수집하고 백업합니다.

잠재적으로 침해된 서비스 계정 또는 에이전트 ID

침해된 에이전트 ID를 삭제하려면 해당 Agent Runtime 인스턴스를 삭제합니다.
잠재적으로 침해된 서비스 계정을 사용 중지합니다. 권장 사항은 사용하지 않는 서비스 계정을 삭제하기 전에 사용 중지를 참조하세요 .
잠재적으로 침해된 프로젝트의 서비스 계정 키를 사용 중지합니다.
서비스 계정 및 키가 Google API 호출에 마지막으로 사용된 시기를 확인하려면 활동 분석기를 사용합니다. 자세한 내용은 서비스 계정 및 키의 최근 사용 보기를 참조하세요.
서비스 계정을 삭제해도 안전하다고 확신하는 경우, 삭제합니다.

참고: 침해된 서비스 계정이 Agent Runtime 서비스 에이전트인 경우 직접 삭제할 수 없습니다. 이 경우 서비스 에이전트가 필요한 것보다 많은 권한을 보유하지 않도록 합니다.
조직 정책을 사용하여 서비스 계정 사용을 제한하려면 서비스 계정 사용 제한을 참조하세요.
Identity and Access Management를 사용하여 서비스 계정 또는 서비스 계정 키 사용을 제한하려면 리소스에 대한 액세스 거부를 참조하세요.

유출 및 추출

조사가 완료될 때까지 발견 사항 세부정보의 주 구성원 이메일 행에 나열된 주 구성원의 역할을 취소합니다.
추가 유출을 방지하려면 영향을 받는 리소스에 제한된 IAM 정책을 추가하세요.
영향을 받는 데이터 세트에 민감한 정보가 있는지 확인하려면 Sensitive Data Protection으로 검사합니다. 검사 작업이 결과를 Security Command Center로 전송하도록 구성할 수 있습니다. 정보의 양에 따라 Sensitive Data Protection 비용이 크게 증가할 수 있습니다. Sensitive Data Protection 비용 관리를 위한 권장사항을 따릅니다.
VPC 서비스 제어를 사용하여 BigQuery 및 Cloud SQL과 같은 데이터 서비스 주변에 보안 경계를 만들어 경계 외부의 프로젝트로 데이터 전송을 방지합니다.

의심스러운 토큰 생성

프로젝트 간 토큰 생성의 필요성을 확인합니다. 필요하지 않은 경우 소스 프로젝트의 주 구성원에게 iam.serviceAccounts.getAccessToken, iam.serviceAccounts.getOpenIdToken, iam.serviceAccounts.implicitDelegation 또는 iam.serviceAccounts.signJwt 권한을 부여하는 대상 프로젝트의 IAM 역할 결합을 삭제합니다.
발견 사항에 지정된 로그를 조사하여 에이전트 워크로드에서 사용하는 토큰 생성 방법을 확인합니다.

중요한 IAM 역할 또는 권한 부여됨

조직 정책 서비스를 사용하여 도메인 제한 공유로 ID를 제한합니다.
과도한 권한이 부여된 역할을 식별하고 수정하려면 IAM 추천자를 사용합니다.

다음 단계

Security Command Center에서 위협 발견 사항 작업 방법 알아보기
위협 발견 사항 색인 참고
Google Cloud 콘솔을 통해 발견 사항을 검토하는 방법 알아보기
위협 발견 사항을 생성하는 서비스 알아보기.

모든 AI 발견 사항 목록을 참고하세요.