本文档就如何响应 AI 资源中的可疑活动发现结果提供非正式指导。建议的步骤可能不适用于所有发现结果,并且可能会影响您的运营。在采取任何行动之前,您应先调查发现结果;评估收集到的信息;并决定如何应对。
本文档中的技术不能保证对您之前、当前或未来面对的任何威胁有效。如需了解 Security Command Center 不针对威胁提供正式修复指导的原因,请参阅修复威胁。
准备工作
一般建议
- 与受影响资源的所有者联系。
- 与您的安全团队合作,确定不熟悉的资源,包括 Agent Runtime 实例、会话、服务账号和 代理身份。删除使用未经授权的账号创建的资源。
- 如需识别并修正过于宽松的角色,请使用 IAM Recommender。删除或停用可能被盗用的账号。
- 对于 Standard-legacy、Standard、高级和 Enterprise 服务层级,请调查所有身份和访问权限发现结果。
- 如需进一步调查,您可以使用突发事件响应服务,例如 例如, Mandiant。
- 如需进行取证分析,请收集并备份受影响资源的日志。
可能被盗用的服务帐号或代理身份
如需移除被盗用的代理身份,请删除其对应的 Agent Runtime 实例。
停用可能被盗用的服务 账号。如需了解最佳 实践,请参阅停用未使用的服务账号,然后再将其删除。
停用服务帐号,适用于 可能被盗用的项目。
如需查看上次使用服务账号和密钥调用 Google API 的时间,请使用活动分析器。如需了解详情,请参阅查看 服务账号和 密钥的近期使用情况。
如果您确信可以安全地删除服务帐号, 请将其删除。
如需使用组织政策来限制服务帐号的使用,请参阅 限制服务帐号 的使用。
如需使用 Identity and Access Management 来限制服务帐号或服务帐号密钥的使用, 请参阅拒绝访问资源。
渗漏和提取
- 在调查完成之前,对发现结果详情中主账号电子邮件地址 行中列出的主账号 撤消 角色。
- 如需防止进一步渗漏,请向受影响的资源添加严格的 IAM 政策。
- 如需确定受影响的数据集是否包含敏感 信息,请使用 Sensitive Data Protection检查这些数据集。 您可以将检查作业配置为将结果发送到 Security Command Center。Sensitive Data Protection 费用可能相当大,具体取决于信息的数量。请遵循控制 Sensitive Data Protection 费用的最佳实践 。
- 使用 VPC Service Controls 在 BigQuery 和 Cloud SQL 等数据服务周围创建 安全边界,以防止数据传输到边界外的项目。
可疑的令牌生成活动
验证是否需要跨项目生成令牌。如果不需要,请移除目标项目中的 IAM 角色绑定,该绑定会向来源项目中的主账号授予
iam.serviceAccounts.getAccessToken、iam.serviceAccounts.getOpenIdToken、iam.serviceAccounts.implicitDelegation或iam.serviceAccounts.signJwt权限。调查发现结果中指定的日志,以验证代理工作负载使用的令牌生成方法。
授予了敏感 IAM 角色或权限
- 使用组织政策服务来限制具有网域限制 共享的身份。
- 如需识别并修正过于宽松的角色,请使用 IAM Recommender。
后续步骤
- 了解如何在 Security Command Center 中处理威胁发现结果。
- 请参阅威胁发现结果索引。
- 了解如何通过 Google Cloud 控制台查看发现结果。
- 了解生成威胁发现结果的服务 。
- 参阅所有 AI 发现结果的列表。