本文提供非正式的指引,說明如何回應 AI 資源中發現的可疑活動。建議採取的步驟可能不適用於所有發現,且可能會影響您的作業。採取任何行動前,請先調查發現結果、評估收集到的資訊,然後決定如何回應。
事前準備
一般建議
- 與受影響資源的擁有者聯絡。
- 與安全團隊合作,找出不熟悉的資源,包括 Agent Runtime 執行個體、工作階段、服務帳戶和代理程式身分。刪除透過未經授權的帳戶建立的資源。
- 如要找出並修正權限過多的角色,請使用 IAM 建議工具。刪除或停用可能遭盜用的帳戶。
- 對於 Standard-legacy、Standard、Premium 和 Enterprise 服務層級,請調查任何身分和存取權發現。
- 如要進一步調查,可以使用事件應變服務,例如 Mandiant。
- 如要進行鑑識分析,請收集並備份受影響資源的記錄。
服務帳戶或代理身分可能遭盜用
如要移除遭入侵的代理程式身分,請刪除對應的 Agent Runtime 執行個體。
停用可能遭入侵的服務帳戶。如需最佳做法,請參閱「先停用未使用的服務帳戶,再刪除」。
針對可能遭入侵的專案停用服務帳戶金鑰。
如要查看服務帳戶和金鑰上次用於呼叫 Google API 的時間,請使用活動分析器。詳情請參閱「查看服務帳戶和金鑰的近期使用情形」。
如果確定可以安全刪除服務帳戶,請刪除該帳戶。
如要使用組織政策限制服務帳戶使用,請參閱「限制服務帳戶使用」。
如要使用 Identity and Access Management 限制服務帳戶或服務帳戶金鑰的使用,請參閱「拒絕存取資源」。
資料竊取和擷取
- 在調查完成前,請為調查結果詳細資料中「主體電子郵件」列出的主體撤銷角色。
- 如要避免資料外洩,請為受影響的資源新增限制性 IAM 政策。
- 如要判斷受影響的資料集是否含有私密資訊,請使用 Sensitive Data Protection 檢查資料集。 您可以設定檢查工作,將結果傳送至 Security Command Center。視資訊量而定,Sensitive Data Protection 的費用可能相當高昂。請按照最佳做法控管 Sensitive Data Protection 費用。
- 使用 VPC Service Controls 為 BigQuery 和 Cloud SQL 等資料服務建立安全邊界,防止資料移轉至邊界外的專案。
可疑的權杖產生作業
確認是否需要跨專案產生權杖。如果不需要,請在目標專案中移除 IAM 角色繫結,將來源專案主體的
iam.serviceAccounts.getAccessToken、iam.serviceAccounts.getOpenIdToken、iam.serviceAccounts.implicitDelegation或iam.serviceAccounts.signJwt權限撤銷。調查調查結果中指定的記錄,驗證代理程式工作負載使用的權杖產生方法。
授予敏感的 IAM 角色或權限
- 使用機構政策服務限制身分,僅允許在網域內共用。
- 如要找出並修正過於寬鬆的角色,請使用 IAM 建議工具。
後續步驟
- 瞭解如何在 Security Command Center 中處理威脅調查結果。
- 請參閱威脅發現項目索引。
- 瞭解如何透過 Google Cloud 控制台查看發現項目。
- 瞭解產生威脅發現項目的服務。
- 請參閱所有 AI 發現項目清單。