Persistance : nouvelle zone géographique pour le service d'IA

Ce document décrit un type de résultat de menace dans Security Command Center. Les résultats de menace sont générés par les détecteurs de menaces lorsqu'ils détectent une menace potentielle dans vos ressources cloud. Pour obtenir la liste complète des résultats de menace disponibles, consultez l'index des résultats de menace.

Présentation

Ce résultat n'est pas disponible pour les activations au niveau du projet.

Un utilisateur ou un compte de service IAM accède aux services d'IA Google Cloudà partir d'un emplacement anormal, en fonction de la géolocalisation de l'adresse IP à l'origine de la demande.

Comment répondre

Pour répondre à ce résultat, procédez comme suit :

Étape 1 : Examiner les détails du résultat

1. Ouvrez un résultat Persistence: New Geography for AI Service, comme indiqué dans la section Examiner les détails des résultats plus haut sur cette page. Le panneau d'informations sur le résultat s'ouvre sur l'onglet Résumé.

2. Dans l'onglet Récapitulatif, examinez les informations des sections suivantes :

• Ce qui a été détecté, en particulier les champs suivants :
  • Adresse e-mail du compte principal : compte utilisateur potentiellement compromis.
  • Ressources d'IA : ressources d'IA potentiellement concernées, telles que les ressources Vertex AI et le modèle d'IA.
• Ressource concernée, en particulier les champs suivants :
  • Nom complet du projet : projet contenant le compte utilisateur potentiellement compromis.
• Liens associés, en particulier les champs suivants :
  • URI Cloud Logging : lien vers les entrées de journalisation.
  • Méthode MITRE ATT&CK : lien vers la documentation MITRE ATT&CK.
  • Résultats associés : liens vers les résultats associés.

1. Dans la vue détaillée du résultat, cliquez sur l'onglet JSON.

2. Dans le fichier JSON, notez les champs sourceProperties suivants :

   • affectedResources :
     • gcpResourceName : ressource concernée.
   • evidence :
     • sourceLogId :
     • projectId : ID du projet contenant le résultat.
   • properties :
     • anomalousLocation :
     • anomalousLocation : position actuelle estimée de l'utilisateur.
     • callerIp : adresse IP externe.
     • notSeenInLast : période utilisée pour établir une référence pour un comportement normal.
     • typicalGeolocations : emplacements où l'utilisateur accède généralement aux ressourcesGoogle Cloud .
   • aiModel :
     • name : IA concernée Model
   • vertexAi :
     • datasets : ensembles de données Vertex AI concernés
     • pipelines : pipelines d'entraînement Vertex AI concernés

Étape 2 : Vérifier les autorisations du projet et du compte

1. Dans la console Google Cloud , accédez à la page IAM.

   Accéder à IAM

2. Si nécessaire, sélectionnez le projet répertorié dans le champ projectID du JSON du résultat.

3. Sur la page qui s'affiche, dans la zone Filtre, saisissez le nom du compte répertorié dans Adresse e-mail du compte principal et vérifiez les rôles attribués.

Étape 3 : Vérifier les journaux

1. Dans l'onglet Récapitulatif du panneau "Détails du résultat", cliquez sur le lien URI Cloud Logging pour ouvrir l'explorateur de journaux.
2. Si nécessaire, sélectionnez votre projet.
3. Sur la page qui s'affiche, vérifiez les journaux d'activité des ressources IAM nouvelles ou mises à jour à l'aide des filtres suivants :
   • protoPayload.methodName="SetIamPolicy"
   • protoPayload.methodName="google.iam.admin.v1.UpdateRole"
   • protoPayload.methodName="google.iam.admin.v1.CreateRole"
   • protoPayload.authenticationInfo.principalEmail="principalEmail"

Étape 4 : Rechercher des méthodes d'attaque et de réponse

1. Examinez l'entrée du framework MITRE ATT&CK pour ce type de résultat : Comptes valides : comptes Cloud.
2. Pour élaborer un plan d'intervention, combinez vos résultats d'enquête avec les recherches MITRE.

Étape 5 : Mettre en œuvre votre réponse

Le plan de réponse suivant peut être adapté à ce résultat, mais peut également avoir une incidence sur les opérations. Évaluez soigneusement les informations que vous collectez dans votre enquête pour déterminer la meilleure façon de solutionner les menaces détectées.

• Contactez le propriétaire du projet contenant le conteneur compromis.
• Examinez les champs anomalousLocation, typicalGeolocations et notSeenInLast pour vérifier si l'accès est anormal et si le compte a été compromis.
• Supprimez les ressources de projet créées par des comptes non autorisés telles que les instances Compute Engine, les instantanés, les comptes de service et les utilisateurs IAM inconnus.
• Pour restreindre la création de ressources à des régions spécifiques, consultez Restreindre les emplacements des ressources.
• Pour identifier et corriger les rôles trop permissifs, utilisez l'outil de recommandation IAM.

Étapes suivantes

• Découvrez comment travailler avec les résultats de détection des menaces dans Security Command Center.
• Consultez l'index des résultats de menace.
• Découvrez comment examiner un résultat dans la console Google Cloud .
• En savoir plus sur les services qui génèrent des résultats de détection des menaces