Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Cómo responder a los resultados de amenazas de la IA

En este documento, se ofrece orientación informal sobre cómo responder a los hallazgos de actividades sospechosas en tus recursos de IA. Es posible que los pasos recomendados no sean adecuados para todos los hallazgos y que afecten tus operaciones. Antes de tomar cualquier medida, debes investigar los hallazgos, evaluar la información que recopiles y decidir cómo responder.

Antes de comenzar

Revisa el hallazgo. Toma nota de los recursos afectados y los archivos binarios, los procesos o las bibliotecas detectados.
Para obtener más información sobre el hallazgo que estás investigando, búscalo en el índice de hallazgos de amenazas.

Recomendaciones generales

Comunícate con el propietario del recurso afectado.
Trabaja con tu equipo de seguridad para identificar recursos desconocidos, incluidas instancias de Agent Runtime, sesiones, cuentas de servicio y identidades de agentes. Borra los recursos que se crearon con cuentas no autorizadas.
Para identificar y corregir los roles demasiado permisivos, usa el recomendador de IAM. Borra o inhabilita las cuentas que puedan estar comprometidas.
En el caso de los niveles de servicio Standard heredado, Standard, Premium y Enterprise, investiga los hallazgos de identidad y acceso.
Para hacer una investigación más exhaustiva, puedes usar servicios de respuesta ante incidentes, como Mandiant.
Para el análisis forense, recopila y crea copias de seguridad de los registros de los recursos afectados.

Cuenta de servicio o identidad del agente potencialmente vulneradas

Para quitar la identidad de un agente vulnerado, borra la instancia de Agent Runtime correspondiente.
Inhabilita la cuenta de servicio que podría estar comprometida. Para conocer las prácticas recomendadas, consulta Inhabilita las cuentas de servicio que no se usen antes de borrarlas.
Inhabilita las claves de cuentas de servicio para el proyecto que podría estar vulnerado.
Para ver cuándo se usaron tus cuentas de servicio y claves por última vez para llamar a una API de Google, usa el Analizador de actividad. Para obtener más información, consulta Consulta el uso reciente de claves y cuentas de servicio.
Si tienes la certeza de que es seguro borrar la cuenta de servicio, bórrala.

Nota: Si la cuenta de servicio vulnerada es un agente de servicio de Agent Runtime, no puedes borrarla directamente. En este caso, asegúrate de que el agente de servicio no tenga más permisos de los que necesita.
Para usar políticas de la organización para restringir el uso de cuentas de servicio, consulta Restringe el uso de las cuentas de servicio.
Para usar Identity and Access Management y restringir el uso de cuentas de servicio o claves de cuentas de servicio, consulta Cómo denegar el acceso a los recursos.

Exfiltración y extracción

Revoca los roles para la principal que aparece en la fila Correo electrónico principal de los detalles del hallazgo hasta que se complete la investigación.
Para detener el robo de datos, agrega políticas de IAM restrictivas a los recursos afectados.
Para determinar si los conjuntos de datos afectados tienen información sensible, inspecciónalos con Sensitive Data Protection. Puedes configurar el trabajo de inspección para que envíe los resultados a Security Command Center. Según la cantidad de información, los costos de Sensitive Data Protection pueden ser significativos. Sigue las prácticas recomendadas para mantener los costos de Sensitive Data Protection bajo control.
Usa los Controles del servicio de VPC para crear perímetros de seguridad alrededor de los servicios de datos, como BigQuery y Cloud SQL, y evitar las transferencias de datos a proyectos fuera del perímetro.

Generación sospechosa de tokens

Valida la necesidad de generar tokens entre proyectos. Si no es necesario, quita la vinculación del rol de IAM en el proyecto de destino que otorga el permiso iam.serviceAccounts.getAccessToken, iam.serviceAccounts.getOpenIdToken, iam.serviceAccounts.implicitDelegation o iam.serviceAccounts.signJwt a la principal del proyecto de origen.
Investiga los registros que se especifican en el hallazgo para validar los métodos de generación de tokens que usan tus cargas de trabajo basadas en agentes.

Se otorgaron permisos o roles de IAM sensibles

Usa el servicio de políticas de la organización para restringir identidades con el uso compartido restringido por dominio.
Para identificar y corregir los roles demasiado permisivos, usa el recomendador de IAM.

¿Qué sigue?

Aprende a trabajar con los hallazgos de amenazas en Security Command Center.
Consulta el Índice de hallazgos de amenazas.
Aprende a revisar un hallazgo con la consola de Google Cloud .
Obtén información sobre los servicios que generan hallazgos de amenazas.

Consulta una lista de todos los hallazgos de la IA.