永続性: AI サービスの新しい地域

このドキュメントでは、Security Command Center の脅威の検出結果のタイプについて説明します。脅威の検出結果は、クラウド リソースで潜在的な脅威が検出されたときに、脅威検出機能によって生成されます。使用可能な脅威の検出結果の一覧については、脅威の検出結果のインデックスをご覧ください。

概要

プロジェクト レベルで有効にしている場合、この検出結果は利用できません。

IAM ユーザーまたはサービス アカウントが、リクエスト元の IP アドレスの位置情報に基づいて、異常なロケーションから Google Cloudの AI サービスにアクセスしています。

対処方法

この検出結果に対応する手順は次のとおりです。

ステップ 1: 検出結果の詳細を確認する

1. このページの検出結果の詳細を確認するの説明に従って Persistence: New Geography for AI Service の検出結果を開きます。検出結果の詳細パネルが開き、[概要] タブが表示されます。

2. [概要] タブで、次のセクションの情報を確認します。

• 検出された内容（特に次のフィールド）:
  • プリンシパルのメール: 不正使用の疑いがあるユーザー アカウント。
  • AI リソース: 影響を受ける可能性のある AI リソース（Vertex AI リソースや AI モデルなど）。
• 影響を受けているリソース（特に次のフィールド）:
  • プロジェクトのフルネーム: 不正使用の疑いがあるユーザー アカウントを含むプロジェクト。
• 関連リンク（特に次のフィールド）:
  • Cloud Logging URI: Logging エントリへのリンク。
  • MITRE ATT&CK 方式: MITRE ATT&CK ドキュメントへのリンク。
  • 関連する検出結果: 関連する検出結果へのリンク。

1. 検出結果の詳細ビューで、[JSON] タブをクリックします。

2. [JSON] で、次の sourceProperties フィールドを確認します。

   • affectedResources:
     • gcpResourceName: 影響を受けるリソース
   • evidence:
     • sourceLogId:
     • projectId: 検出結果が含まれているプロジェクトの ID
   • properties:
     • anomalousLocation:
     • anomalousLocation: ユーザーの推定位置。
     • callerIp: 外部 IP アドレス。
     • notSeenInLast: 通常の動作のベースラインを確立するために使用される期間。
     • typicalGeolocations: ユーザーがGoogle Cloud リソースに通常アクセスするロケーション。
   • aiModel:
     • name: 影響を受ける AI Model
   • vertexAi:
     • datasets: 影響を受ける Vertex AI データセット
     • pipelines: 影響を受ける Vertex AI Training パイプライン

ステップ 2: プロジェクトとアカウントの権限を確認する

1. Google Cloud コンソールで、[IAM] ページに移動します。

   [IAM] に移動

2. 必要に応じて、検出結果の JSON の projectID フィールドに表示されているプロジェクトを選択します。

3. 表示されたページの [フィルタ] ボックスに [プリンパルのメール] のアカウント名を入力して、付与されているロールを確認します。

ステップ 3: ログを確認する

1. 検出結果の詳細パネルの [概要] タブで、[Cloud Logging URI] リンクをクリックして [ログ エクスプローラ] を開きます。
2. 必要に応じて、プロジェクトを選択します。
3. 読み込まれたページで、次のフィルタを使用して、新規または更新された IAM リソースのアクティビティ ログを確認します。
   • protoPayload.methodName="SetIamPolicy"
   • protoPayload.methodName="google.iam.admin.v1.UpdateRole"
   • protoPayload.methodName="google.iam.admin.v1.CreateRole"
   • protoPayload.authenticationInfo.principalEmail="principalEmail"

ステップ 4: 攻撃とレスポンスの手法を調査する

1. この検出結果タイプに対応する MITRE ATT&CK フレームワーク エントリ（Valid Accounts: Cloud Accounts）を確認します。
2. 対応計画を策定するには、独自の調査結果と MITRE の調査を組み合わせる必要があります。

ステップ 5: レスポンスを実装する

次の対応計画は、この検出結果に適切な場合もありますが、運用に影響する可能性もあります。調査で収集した情報を慎重に評価して、検出結果を解決する最適な方法を判断してください。

• アカウントが不正使用されているプロジェクトのオーナーに連絡します。
• anomalousLocation、typicalGeolocations、notSeenInLast フィールドを確認して、アクセスに異常がないかどうかと、アカウントが不正使用されているかどうかを確認できます。
• 覚えのない Compute Engine インスタンス、スナップショット、サービス アカウント、IAM ユーザーなど、未承認のアカウントで作成されたプロジェクト リソースを削除します。
• 新しいリソースの作成を特定のリージョンに制限するには、リソース ロケーションの制限をご覧ください。
• 過度に制限の緩いロールを特定して修正するには、IAM Recommender を使用します。

次のステップ

• Security Command Center で脅威の検出結果を操作する方法を学習する。
• 脅威の検出結果のインデックスを参照する。
• Google Cloud コンソールで検出結果を確認する方法を学習する。
• 脅威の検出結果を生成するサービスについて学習する。