Este documento oferece orientações informais sobre como pode responder a conclusões de atividades suspeitas nos seus recursos de IA. Os passos recomendados podem não ser adequados para todas as conclusões e podem afetar as suas operações. Antes de tomar qualquer medida, deve investigar as conclusões, avaliar as informações que recolhe e decidir como responder.
Não é garantido que as técnicas neste documento sejam eficazes contra ameaças anteriores, atuais ou futuras que enfrenta. Para compreender por que motivo o Security Command Center não fornece orientações de remediação oficiais para ameaças, consulte o artigo Remediar ameaças.
Antes de começar
- Reveja a conclusão. Tenha em atenção os recursos afetados e os ficheiros binários, os processos ou as bibliotecas detetados.
- Para saber mais sobre a descoberta que está a investigar, pesquise a descoberta no índice de descobertas de ameaças.
Recomendações gerais
- Contacte o proprietário do recurso afetado.
- Colabore com a sua equipa de segurança para identificar recursos desconhecidos, incluindo instâncias, sessões, contas de serviço e identidades de agentes do Vertex AI Agent Engine. Eliminar recursos criados com contas não autorizadas.
- Para identificar e corrigir funções excessivamente permissivas, use o IAM Recommender. Elimine ou desative contas potencialmente comprometidas.
- Para o nível de serviço Enterprise, investigue quaisquer conclusões de identidade e acesso.
- Para uma investigação mais detalhada, pode usar serviços de resposta a incidentes, por exemplo, o Mandiant.
- Para análise forense, recolha e faça uma cópia de segurança dos registos dos recursos afetados.
Identidade de agente ou conta de serviço potencialmente comprometida
Para remover uma identidade de agente comprometida, elimine a instância do Vertex AI Agent Engine correspondente.
Desative a conta de serviço potencialmente comprometida. Para conhecer as práticas recomendadas, consulte o artigo Desative as contas de serviço não utilizadas antes de as eliminar.
Desative as chaves de contas de serviço do projeto potencialmente comprometido.
Para ver quando as suas contas de serviço e chaves foram usadas pela última vez para chamar uma API Google, use o Analisador de atividade. Para mais informações, consulte o artigo Veja a utilização recente das contas de serviço e das chaves.
Se tiver a certeza de que é seguro eliminar a conta de serviço, elimine-a.
Para usar políticas da organização para restringir a utilização de contas de serviço, consulte o artigo Restringir a utilização de contas de serviço.
Para usar a gestão de identidade e acesso para restringir a utilização da conta de serviço ou da chave da conta de serviço, consulte o artigo Negue o acesso aos recursos.
Exfiltração e extração
- Revogue funções para o principal que está listado na linha Email principal nos detalhes da descoberta até que a investigação esteja concluída.
- Para impedir a exfiltração adicional, adicione políticas de IAM restritivas aos recursos afetados.
- Para determinar se os conjuntos de dados afetados têm informações confidenciais, inspecione-os com a proteção de dados confidenciais. Pode configurar a tarefa de inspeção para enviar os resultados para o Security Command Center. Consoante a quantidade de informações, os custos da proteção de dados confidenciais podem ser significativos. Siga as práticas recomendadas para manter os custos de proteção de dados confidenciais sob controlo.
- Use os VPC Service Controls para criar perímetros de segurança em torno de serviços de dados, como o BigQuery e o Cloud SQL, para impedir transferências de dados para projetos fora do perímetro.
Geração de tokens suspeita
Valide a necessidade de geração de tokens entre projetos. Se não for necessário, remova a associação da função de IAM no projeto de destino que concede a autorização
iam.serviceAccounts.getAccessToken,iam.serviceAccounts.getOpenIdTokenouiam.serviceAccounts.implicitDelegationao principal do projeto de origem.Investigue os registos especificados na descoberta para validar os métodos de geração de tokens usados pelas suas cargas de trabalho de agentes.
O que se segue?
- Saiba como trabalhar com as conclusões de ameaças no Security Command Center.
- Consulte o índice de resultados de ameaças.
- Saiba como rever uma descoberta através da Google Cloud consola.
- Saiba mais sobre os serviços que geram resultados de ameaças.
- Consulte uma lista de todas as conclusões da IA.