此页面由 Cloud Translation API 翻译。

持久性：AI 服务的新地理位置

本文档介绍了 Security Command Center 中的一种威胁发现结果类型。当威胁检测器在您的云资源中检测到潜在威胁时，会生成威胁发现结果。如需查看可用威胁发现结果的完整列表，请参阅威胁发现结果索引。

概览

此发现结果不适用于项目级激活。

根据发出请求的 IP 地址的地理位置，IAM 用户或服务账号从异常位置访问 Google CloudAI 服务。

如需响应此发现结果，请执行以下操作：

按照本页面前面部分的查看发现结果详情中所述，打开 Persistence: New Geography for AI Service 发现结果。系统会打开发现结果详细信息面板，以显示摘要标签页。
在摘要标签页上，查看以下部分中的信息：

检测到的内容，尤其是以下字段：
- 主账号电子邮件地址：可能被盗用的用户账号。
- AI 资源：可能受到影响的 AI 资源，例如 Vertex AI 资源和 AI 模型。
受影响的资源，尤其是以下字段：
- 项目全名：包含可能被盗用的用户账号的项目。
相关链接，尤其是以下字段：
- Cloud Logging URI：指向 Logging 条目的链接。
- MITRE ATT&CK 方法：指向 MITRE ATT&CK 文档的链接。
- 相关发现结果：指向任何相关发现结果的链接。

在发现结果详细信息面板的“摘要”标签页上，点击 Cloud Logging URI 链接以打开 Logs Explorer。
如有必要，请选择您的项目。
在加载的页面上，使用以下过滤条件检查新的或更新后的 IAM 资源中的活动日志：
- protoPayload.methodName="SetIamPolicy"
- protoPayload.methodName="google.iam.admin.v1.UpdateRole"
- protoPayload.methodName="google.iam.admin.v1.CreateRole"
- protoPayload.authenticationInfo.principalEmail="principalEmail"

以下响应方案可能适合此发现结果，但也可能会影响运营。请仔细评估您在研究中收集的信息，以确定解析发现结果的最佳方法。

与账号被盗用的项目的所有者联系。
查看 anomalousLocation、typicalGeolocations 和 notSeenInLast 字段，以验证访问是否异常以及账号是否被盗用。
删除未经授权的账号创建的项目资源，例如不熟悉的 Compute Engine 实例、快照、服务账号和 IAM 用户。
如需将新资源的创建限制在特定区域，请参阅限制资源位置。
如需识别并修正过于宽松的角色，请使用 IAM Recommender。