本文件提供非正式指南,說明如何回應 AI 資源中可疑活動的調查結果。建議步驟可能不適用於所有發現項目,且可能會影響作業。採取任何行動前,請先調查結果、評估收集到的資訊,然後決定如何回應。
我們無法保證本文所述技術可有效防範您先前、目前或未來面臨的任何威脅。如要瞭解 Security Command Center 為何不提供威脅的官方修正指引,請參閱「修正威脅」。
事前準備
一般建議
- 與受影響資源的擁有者聯絡。
- 與安全團隊合作找出不熟悉的資源,包括 Vertex AI Agent Engine 執行個體、工作階段、服務帳戶和代理程式身分。刪除透過未經授權的帳戶建立的資源。
- 如要找出並修正過於寬鬆的角色,請使用 IAM 建議。刪除或停用可能遭入侵的帳戶。
- 如果是 Enterprise 服務層級,請調查所有身分和存取權發現。
- 如要進一步調查,可以使用事件應變服務,例如 Mandiant。
- 如要進行鑑識分析,請收集並備份受影響資源的記錄。
服務帳戶或代理程式身分可能遭盜用
如要移除遭入侵的代理程式身分,請刪除對應的 Vertex AI Agent Engine 執行個體。
停用可能遭入侵的服務帳戶。如需最佳做法,請參閱「先停用未使用的服務帳戶,再刪除」。
針對可能遭入侵的專案停用服務帳戶金鑰。
如要查看服務帳戶和金鑰上次呼叫 Google API 的時間,請使用活動分析工具。詳情請參閱「查看服務帳戶和金鑰的近期使用情形」。
如果確定可以安全刪除服務帳戶,請刪除該帳戶。
如要使用機構政策限制服務帳戶使用,請參閱限制服務帳戶使用。
如要使用 Identity and Access Management 限制服務帳戶或服務帳戶金鑰的使用,請參閱拒絕存取資源。
資料竊取和擷取
- 在調查完成前,請為調查結果詳細資料中「主體電子郵件」列的主體撤銷角色。
- 如要避免資料外洩,請為受影響的資源新增限制性 IAM 政策。
- 如要判斷受影響的資料集是否含有私密資訊,請使用 Sensitive Data Protection 檢查資料集。您可以設定檢查工作,將結果傳送至 Security Command Center。視資訊量而定,Sensitive Data Protection 的費用可能相當高昂。請遵循控管 Sensitive Data Protection 費用的最佳做法。
- 使用 VPC Service Controls 為 BigQuery 和 Cloud SQL 等資料服務建立安全範圍,防止資料傳輸至範圍外的專案。
可疑的權杖產生作業
確認是否需要產生跨專案權杖。如果不需要,請在目標專案中移除 IAM 角色繫結,授予來源專案主體
iam.serviceAccounts.getAccessToken、iam.serviceAccounts.getOpenIdToken或iam.serviceAccounts.implicitDelegation權限。調查調查結果中指定的記錄,驗證代理程式工作負載使用的權杖產生方法。
後續步驟
- 瞭解如何在 Security Command Center 中處理威脅調查結果。
- 請參閱威脅發現項目索引。
- 瞭解如何透過 Google Cloud 控制台查看發現項目。
- 瞭解會產生威脅調查結果的服務。
- 請參閱所有 AI 發現項目的清單。