Organízate con las colecciones
Guarda y clasifica el contenido según tus preferencias.
En este documento se describe un tipo de hallazgo de amenazas en Security Command Center. Los hallazgos de amenazas los generan los detectores de amenazas cuando detectan una amenaza potencial en tus recursos de la nube. Para ver una lista completa de las detecciones de amenazas disponibles, consulta el índice de detecciones de amenazas.
Información general
Se ha detectado actividad de administrador anómala en los servicios de IA por parte de un agente potencialmente malicioso en una organización, una carpeta o un proyecto. La actividad anómala puede ser
una de las siguientes:
Nueva actividad de una entidad de seguridad en una organización, una carpeta o un proyecto
Actividad que no se ha visto en un tiempo, realizada por un principal en una organización, una carpeta o un proyecto
Cómo responder
Para responder a esta observación, sigue estos pasos:
Paso 1: Revisa los detalles de la detección
Abre el Persistence: New AI API Method tal como se indica en el artículo Revisar los resultados.
En los detalles de la detección, en la pestaña Resumen, anota los valores de los siguientes campos:
En Qué se detectó:
Correo principal: la cuenta que ha hecho la llamada.
Nombre del método: el método al que se ha llamado
Recursos de IA: los recursos de IA que pueden verse afectados, como los recursos de Vertex AI y el modelo de IA.
En Recurso afectado:
Nombre visible del recurso: el nombre del recurso afectado, que puede ser el mismo que el de la organización, la carpeta o el proyecto.
Ruta del recurso: la ubicación en la jerarquía de recursos donde se produjo la actividad.
Paso 2: Investiga los métodos de ataque y respuesta
Revisa las entradas del framework ATT&CK de MITRE de este tipo de hallazgo: Persistencia.
Investiga si la acción estaba justificada en la organización, la carpeta o el proyecto, y si la llevó a cabo el propietario legítimo de la cuenta. La organización, la carpeta o el proyecto se muestran en el campo Ruta del recurso y la cuenta se muestra en la fila Correo principal.
Para desarrollar un plan de respuesta, combina los resultados de tu investigación con la investigación de MITRE.
[[["Es fácil de entender","easyToUnderstand","thumb-up"],["Me ofreció una solución al problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Es difícil de entender","hardToUnderstand","thumb-down"],["La información o el código de muestra no son correctos","incorrectInformationOrSampleCode","thumb-down"],["Me faltan las muestras o la información que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-09-10 (UTC)."],[],[],null,["| Premium and Enterprise [service tiers](/security-command-center/docs/service-tiers)\n\nThis document describes a threat finding type in Security Command Center. Threat findings are generated by\n[threat detectors](/security-command-center/docs/concepts-security-sources#threats) when they detect\na potential threat in your cloud resources. For a full list of available threat findings, see [Threat findings index](/security-command-center/docs/threat-findings-index).\n\nOverview\n\nAnomalous admin activity for AI services by a potentially malicious actor was\ndetected in an organization, folder, or project. Anomalous activity can be\neither of the following:\n\n- New activity by a principal in an organization, folder, or project\n- Activity that has not been seen in a while, performed by a principal in an organization, folder, or project\n\nHow to respond\n\nTo respond to this finding, do the following:\n\nStep 1: Review finding details\n\n1. Open the `Persistence: New AI API Method` finding as directed in [Reviewing findings](/security-command-center/docs/how-to-investigate-threats#reviewing_findings).\n2. In the finding details, on the **Summary** tab, note the values of the following fields:\n\n - Under **What was detected** :\n - **Principal email**: the account that made the call\n - **Method name**: the method that was called\n - AI resources: the potentially impacted AI resources, such as the Vertex AI resources and the AI model.\n - Under **Affected resource** :\n - **Resource display name**: the name of the affected resource, which can be the same as the name of the organization, folder, or project\n - **Resource path**: the location in the resource hierarchy where the activity took place\n\nStep 2: Research attack and response methods\n\n1. Review MITRE ATT\\&CK framework entries for this finding type: **Persistence**.\n2. Investigate whether the action was warranted in the organization, folder, or project and whether the action was taken by the legitimate owner of the account. The organization, folder, or project is displayed on the **Resource path** field and the account is displayed in the **Principal email** row.\n3. To develop a response plan, combine your investigation results with MITRE research.\n\nWhat's next\n\n- Learn [how to work with threat\n findings in Security Command Center](/security-command-center/docs/how-to-investigate-threats).\n- Refer to the [Threat findings index](/security-command-center/docs/threat-findings-index).\n- Learn how to [review a\n finding](/security-command-center/docs/how-to-investigate-threats#reviewing_findings) through the Google Cloud console.\n- Learn about the [services that\n generate threat findings](/security-command-center/docs/concepts-security-sources#threats)."]]
