Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Responder a descobertas de ameaças de IA

Este documento oferece orientações informais sobre como responder a descobertas de atividades suspeitas nos seus recursos de IA. As etapas recomendadas podem não ser adequadas para todas as descobertas e podem afetar suas operações. Antes de tomar qualquer medida, investigue as descobertas, avalie as informações coletadas e decida como responder.

Não há garantias de que as técnicas neste documento sejam eficientes contra ameaças anteriores, atuais ou futuras. Para entender por que o Security Command Center não fornece orientações oficiais para a correção de ameaças, consulte Como corrigir ameaças.

Antes de começar

Analise a descoberta. Anote os recursos afetados e os binários, processos ou bibliotecas detectados.
Para saber mais sobre a descoberta que você está investigando, pesquise no Índice de descobertas de ameaças.

Recomendações gerais

Entre em contato com o proprietário do recurso afetado.
Trabalhe com sua equipe de segurança para identificar recursos desconhecidos, incluindo instâncias, sessões, contas de serviço e identidades de agentes do Agent Runtime. Exclua recursos criados com contas não autorizadas.
Para identificar e corrigir papéis excessivamente permissivos, use IAM Recomendador. Exclua ou desative contas potencialmente comprometidas.
Para os níveis de serviço Standard-legado, Standard, Premium e Enterprise, investigue todas as descobertas de identidade e acesso.
Para mais investigações, use serviços de resposta a incidentes, por exemplo, a Mandiant.
Para análise forense, colete e faça backup dos registros de recursos afetados.

Conta de serviço ou identidade do agente potencialmente comprometida

Para remover uma identidade de agente comprometida, exclua a instância correspondente do Agent Runtime.
Desative a conta de serviço potencialmente comprometida. Para práticas recomendadas, consulte Desativar contas de serviço não utilizadas antes de excluir elas.
Desative as chaves da conta de serviço para o projeto potencialmente comprometido.
Para ver quando suas contas de serviço e chaves foram usadas pela última vez para chamar uma API do Google, use o Activity Analyzer. Para mais informações, consulte Ver o uso recente de contas de serviço e chaves.
Se você tiver certeza de que é seguro excluir a conta de serviço, faça isso.

**Observação** :se a conta de serviço comprometida for um agente de serviço do Agent Runtime Agent Runtime, não será possível excluí-la diretamente. Nesse caso, verifique se o agente de serviço não tem mais permissões do que o necessário.
Para usar políticas da organização para restringir o uso da conta de serviço, consulte Como restringir o uso da conta de serviço.
Para usar Identity and Access Management para restringir o uso da conta de serviço ou da chave da conta de serviço, consulte Negar acesso a recursos.

Exfiltração e extração

Revogue os papéis para o principal listado na linha E-mail principal nos detalhes da descoberta até que a investigação seja concluída.
Para interromper a exfiltração ainda mais, adicione políticas restritivas do IAM aos recursos afetados.
Para determinar se os conjuntos de dados afetados têm informações sensíveis, inspecione-os com a Proteção de Dados Sensíveis. É possível configurar o job de inspeção para enviar os resultados ao Security Command Center. Dependendo da quantidade de informações, os custos da proteção de dados sensíveis podem ser significativos. Siga as práticas recomendadas para manter os custos da Proteção de dados sensíveis sob controle.
Use VPC Service Controls para criar perímetros de segurança em torno de serviços de dados, como o BigQuery e o Cloud SQL, para evitar transferências de dados para projetos fora do perímetro.

Geração de token suspeito

Valide a necessidade de geração de token entre projetos. Se não for necessário, remova a vinculação de papéis do IAM no projeto de destino que concede a permissão iam.serviceAccounts.getAccessToken, iam.serviceAccounts.getOpenIdToken, iam.serviceAccounts.implicitDelegation ou iam.serviceAccounts.signJwt ao principal do projeto de origem.
Investigue os registros especificados na descoberta para validar os métodos de geração de token usados pelas cargas de trabalho do agente.

Papéis ou permissões confidenciais do IAM concedidos

Use o serviço de políticas da organização para restringir identidades com compartilhamento restrito por domínio.
Para identificar e corrigir papéis excessivamente permissivos, use IAM Recomendador.

A seguir

Saiba como usar descobertas de ameaças no Security Command Center.
Consulte Índice de descobertas de ameaças.
Aprenda a analisar uma descoberta no console do Google Cloud .
Saiba mais sobre os serviços que geram descobertas de ameaças.

Consulte uma lista de todas as descobertas de IA.