Persistance : nouvelle méthode d'API d'IA

Ce document décrit un type de résultat de menace dans Security Command Center. Les résultats de menace sont générés par les détecteurs de menaces lorsqu'ils détectent une menace potentielle dans vos ressources cloud. Pour obtenir la liste complète des résultats de menace disponibles, consultez l'index des résultats de menace.

Présentation

Une activité d'administrateur anormale pour les services d'IA a été détectée dans une organisation, un dossier ou un projet. Elle pourrait être le fait d'une personne malveillante. Une activité anormale peut être l'une des suivantes :

• Nouvelle activité d'un compte principal dans une organisation, un dossier ou un projet
• Activité qui n'a pas été observée depuis un certain temps, effectuée par un compte principal dans une organisation, un dossier ou un projet

Comment répondre

Pour répondre à ce résultat, procédez comme suit :

Étape 1 : Examiner les détails du résultat

1. Ouvrez le résultat Persistence: New AI API Method comme indiqué dans Examiner les résultats.

2. Dans les détails du résultat, dans l'onglet Résumé, notez les valeurs des champs suivants :

   • Sous Éléments détectés :
     • Adresse e-mail principale : compte à l'origine de l'appel
     • Nom de la méthode : méthode appelée
     • Ressources d'IA : ressources d'IA potentiellement concernées, telles que les ressources Vertex AI et le modèle d'IA.
   • Sous Ressource concernée :
     • Nom à afficher de la ressource : nom de la ressource concernée, qui peut être identique à celui de l'organisation, du dossier ou du projet
     • Chemin d'accès à la ressource : emplacement dans la hiérarchie des ressources où l'activité a eu lieu

Étape 2 : Étudier les méthodes d'attaque et de réponse

1. Examinez les entrées du framework MITRE ATT&CK pour ce type de résultat : Persistance.
2. Déterminez si l'action était justifiée dans l'organisation, le dossier ou le projet, et si elle a été effectuée par le propriétaire légitime du compte. L'organisation, le dossier ou le projet s'affichent dans le champ Chemin d'accès à la ressource, et le compte s'affiche dans la ligne Adresse e-mail du compte principal.
3. Pour élaborer un plan d'intervention, combinez vos résultats d'enquête avec les recherches MITRE.

Étapes suivantes

• Découvrez comment travailler avec les résultats de détection des menaces dans Security Command Center.
• Consultez l'index des résultats de menace.
• Découvrez comment examiner un résultat dans la console Google Cloud .
• En savoir plus sur les services qui génèrent des résultats de détection des menaces