本文档提供了一些非正式指导信息,可帮助您应对 AI 资源中可疑活动的发现结果。建议的步骤可能不适用于所有发现结果,并且可能会影响您的运营。在采取任何行动之前,您应先调查发现结果;评估收集到的信息;并决定如何应对。
准备工作
一般建议
- 与受影响资源的所有者联系。
- 与您的安全团队合作,确定不熟悉的资源,包括 Agent Runtime 实例、会话、服务账号和代理身份。删除使用未经授权的账号创建的资源。
- 如需识别并修正过于宽松的角色,请使用 IAM Recommender。删除或停用可能遭到入侵的账号。
- 对于标准版(旧版)、标准版、高级版和企业版服务层级,请调查所有身份和访问权限发现结果。
- 如需进一步调查,您可以使用突发事件响应服务,例如 Mandiant。
- 如需进行取证分析,请收集并备份受影响资源的日志。
可能被盗用的服务账号或代理身份
如需移除遭入侵的代理身份,请删除其对应的代理运行时实例。
停用可能被盗用的服务账号。如需了解最佳实践,请参阅停用未使用的服务账号,然后再将其删除。
如需查看上次使用服务账号和密钥来调用 Google API 的时间,请使用活动分析器。如需了解详情,请参阅查看服务账号和密钥的近期使用情况。
如果您确信可以安全地删除服务账号,请删除该账号。
如需使用组织政策来限制服务账号的使用,请参阅限制服务账号的使用。
如需使用 Identity and Access Management 限制服务账号或服务账号密钥的使用,请参阅拒绝访问资源。
渗漏和提取
- 在调查完成之前,撤消发现结果详情中主账号电子邮件地址行上列出的主账号的角色。
- 如需防止进一步渗漏,请向受影响的资源添加严格的 IAM 政策。
- 如需确定受影响的数据集是否包含敏感信息,请使用 Sensitive Data Protection 对其进行检查。您可以将检查作业配置为将结果发送到 Security Command Center。Sensitive Data Protection 费用可能相当大,具体取决于信息的数量。请遵循控制 Sensitive Data Protection 费用的最佳实践。
- 使用 VPC Service Controls 在 BigQuery 和 Cloud SQL 等数据服务周围创建安全边界,以防止数据传输到边界外的项目。
可疑的令牌生成活动
验证是否需要跨项目生成令牌。如果不需要,请移除目标项目中的 IAM 角色绑定,该绑定会向源项目中的主账号授予
iam.serviceAccounts.getAccessToken、iam.serviceAccounts.getOpenIdToken、iam.serviceAccounts.implicitDelegation或iam.serviceAccounts.signJwt权限。调查检测结果中指定的日志,以验证代理型工作负载使用的令牌生成方法。
授予了敏感 IAM 角色或权限
- 使用组织政策服务限制具有网域限制性共享功能的身份。
- 如需识别并修正过于宽松的角色,请使用 IAM Recommender。
后续步骤
- 了解如何在 Security Command Center 中处理威胁发现结果。
- 请参阅威胁发现结果索引。
- 了解如何通过 Google Cloud 控制台查看发现结果。
- 了解生成威胁发现结果的服务。
- 请参阅所有 AI 发现结果的列表。