本頁面由 Cloud Translation API 翻譯而成。

持續：AI 服務的新地理區域

本文說明 Security Command Center 中的威脅發現項目類型。威脅偵測工具偵測到雲端資源中可能存在威脅時，就會產生威脅發現項目。如需可用威脅發現項目的完整清單，請參閱「威脅發現項目索引」。

總覽

這項發現項目不適用於專案層級的啟用作業。

根據要求 IP 位址的地理位置，IAM 使用者或服務帳戶是從異常位置存取 Google CloudAI 服務。

如要回應這項發現，請按照下列步驟操作：

按照本頁稍早「查看調查結果詳細資料」一節的說明，開啟Persistence: New Geography for AI Service調查結果。系統會開啟發現項目的詳細資料面板，並顯示「摘要」分頁。
在「摘要」分頁中，查看下列各節的資訊：

偵測到的內容，特別是下列欄位：
- 主要電子郵件地址：可能遭盜用的使用者帳戶。
- AI 資源：可能受影響的 AI 資源，例如 Vertex AI 資源和 AI 模型。
受影響的資源，尤其是下列欄位：
- 專案完整名稱：含有可能遭入侵使用者帳戶的專案。
相關連結，尤其是下列欄位：
- Cloud Logging URI：記錄檔項目的連結。
- MITRE ATT&CK 方法：連結至 MITRE ATT&CK 文件。
- 相關發現項目：任何相關發現項目的連結。

在「發現項目詳細資料」面板的「摘要」分頁中，按一下「Cloud Logging URI」連結，開啟「記錄檔探索工具」。
必要時，請選取專案。
在隨即載入的頁面中，使用下列篩選器檢查新或更新 IAM 資源的活動記錄：
- protoPayload.methodName="SetIamPolicy"
- protoPayload.methodName="google.iam.admin.v1.UpdateRole"
- protoPayload.methodName="google.iam.admin.v1.CreateRole"
- protoPayload.authenticationInfo.principalEmail="principalEmail"

下列回應計畫可能適用於這項發現，但也可能影響作業。請仔細評估調查期間收集到的資訊，找出解決問題的最佳方法。

與遭入侵帳戶的專案擁有者聯絡。
檢查「anomalousLocation」、「typicalGeolocations」和「notSeenInLast」欄位，確認存取權是否異常，以及帳戶是否遭到入侵。
刪除未經授權帳戶建立的專案資源，例如不熟悉的 Compute Engine 執行個體、快照、服務帳戶和 IAM 使用者。
如要限制僅有特定區域才可建立新資源，請參閱「限制資源位置」。
如要找出並修正過於寬鬆的角色，請使用 IAM 建議。