Para proteger los entornos de nube, es necesario proteger las cuentas de Identity and Access Management contra la vulneración. El compromiso de una cuenta de usuario con privilegios permite que un atacante realice cambios en un entorno de nube, por lo que detectar posibles compromisos es esencial para proteger a organizaciones de todos los tamaños. Para ayudar a las organizaciones a mantenerse seguras,Google Cloud registra las acciones sensibles que realizan las cuentas de usuario de IAM y notifica a los administradores de la organización sobre esas acciones directamente a través de notificaciones de advertencia.
Las acciones sensibles son acciones que pueden tener un efecto negativo significativo en tu Google Cloud organización si las realiza un agente malicioso con una cuenta comprometida. Estas acciones por sí solas no necesariamente representan una amenaza para tu organización ni indican que se haya vulnerado una cuenta. Sin embargo, te recomendamos que confirmes que tus usuarios realizaron las acciones con fines legítimos.
Quién recibe notificaciones de Acciones Sensibles
Google Cloud notifica a tu organización sobre acciones sensibles mediante el envío de una notificación por correo electrónico a los contactos esenciales a nivel de la organización para la seguridad. Si no hay contactos esenciales configurados, la notificación por correo electrónico se envía a todas las cuentas que tengan el rol de administrador de IAM de la organización a nivel de la organización.
Rechazando
Si no quieres recibir notificaciones de Acciones sensibles en tu organización, puedes inhabilitarlas. Para obtener más información, consulta Configura las notificaciones. Inhabilitar las notificaciones de Acciones Delicadas solo afecta las notificaciones que se envían a través de las Notificaciones de Asesoramiento. Los registros de Acciones sensibles siempre se generan y no se ven afectados por inhabilitar las notificaciones. Si usas Security Command Center, el Servicio de acciones sensibles no se verá afectado si inhabilitas las notificaciones de Acciones sensibles.
Cómo funcionan las Acciones sensibles
Google Cloud supervisa los registros de auditoría de actividad del administrador de tu organización para detectar acciones sensibles. Cuando se detecta una acción sensible, Google Cloud escribe la acción en el registro de la plataforma del servicio de acciones sensibles en el mismo recurso en el que se produjo la actividad. Google Cloud también incluye el evento en una notificación que se entrega a través de las notificaciones de advertencia.
Frecuencia de las notificaciones
La primera vez que se observa una acción sensible en tu organización, recibirás un informe que incluirá la acción inicial, además de cualquier otra acción que se produzca en la siguiente hora. Después del informe inicial, recibirás informes de acciones sensibles nuevas en tu organización como máximo una vez cada 30 días. Si no se realizaron acciones sensibles en tu organización durante mucho tiempo, es posible que recibas el informe de una hora la próxima vez que se observe una acción sensible.
Cuando no se producen acciones sensibles
Google Cloud informa acciones sensibles solo si el principal que realiza la acción es una cuenta de usuario. No se informan las acciones que realiza una cuenta de servicio. Google desarrolló esta función para proteger contra adversarios que obtienen acceso a las credenciales del usuario final y las usan para realizar acciones no deseadas en entornos de nube. Debido a que muchas de estas acciones son un comportamiento común para las cuentas de servicio, no se producen registros ni notificaciones de advertencia para estas identidades.
No se pueden detectar acciones sensibles si configuraste tus registros de auditoría de actividad del administrador para que se ubiquen en una región específica (es decir, no en la región global). Por ejemplo, si especificaste una región de almacenamiento para el bucket de registros _Required en un recurso determinado, no se pueden analizar los registros de ese recurso en busca de acciones sensibles.
Si configuraste tus registros de auditoría de actividad del administrador para que se encripten con claves de encriptación administradas por el cliente, tus registros no se pueden analizar en busca de acciones sensibles.
Acciones sensibles en Security Command Center
Si usas Security Command Center, puedes recibir acciones sensibles como resultados a través del servicio de acciones sensibles.
Si bien los registros de Acciones sensibles y las notificaciones de advertencias proporcionan una perspectiva del comportamiento de las cuentas en tu organización, Security Command Center ofrece estadísticas adicionales y capacidades de administración para los equipos de seguridad que protegen cargas de trabajo y entornos más complejos, grandes o importantes. Te recomendamos que supervises las Acciones Sensibles como parte de tu estrategia general de supervisión de seguridad.
Para obtener más información sobre Security Command Center, consulta los siguientes recursos:
Precios
Las notificaciones de acciones sensibles en las notificaciones de advertencia se proporcionan sin cargo adicional. Los registros de Acciones sensibles en Cloud Logging generan costos de transferencia y almacenamiento de acuerdo con los precios de Logging. El volumen de entradas de registro de Acciones sensibles depende de la frecuencia con la que las cuentas de usuario de tu organización realizan acciones sensibles. Por lo general, estas acciones no son comunes.
Tipos de acciones sensibles
Google Cloud te informa sobre los siguientes tipos de acciones sensibles.
Sensitive Roles Added
Se otorgó un principal con un rol de IAM de propietario (roles/owner) o editor (roles/editor) a nivel de la organización. Estos roles permiten una gran cantidad de acciones en toda tu organización.
Billing Admin Removed
Se quitó el rol de IAM de administrador de cuentas de facturación (roles/billing.admin) a nivel de la organización. Quitar este rol puede impedir que los usuarios tengan visibilidad y proporcionar un mecanismo para que un adversario no se detecte.
Organization Policy Changed
Se creó, actualizó o borró una política de la organización a nivel de la organización. Las políticas de la organización a este nivel pueden afectar la seguridad de todos los recursos deGoogle Cloud de tu organización.
Project-level SSH Key Added
Se agregó una clave SSH a nivel del proyecto a un proyecto Google Cloud que no tenía una clave de este tipo. Las claves SSH a nivel del proyecto pueden otorgar acceso a todas las máquinas virtuales (VM) del proyecto.
GPU Instance Created
Una persona que no había creado una instancia de GPU en ese proyecto recientemente creó una VM con una GPU en un proyecto. Las instancias de Compute Engine con GPUs pueden alojar cargas de trabajo como la minería de criptomonedas.
Many Instances Created
Un usuario creó varias instancias de VM en un proyecto determinado. Se pueden usar grandes cantidades de instancias de VM para cargas de trabajo inesperadas, como la minería de criptomonedas o los ataques de denegación del servicio.
Many Instances Deleted
Un usuario borró varias instancias de VM en un proyecto determinado. Grandes cantidades de borrados de instancias pueden interrumpir tu empresa.
¿Qué sigue?
- Obtén más información para ver las notificaciones.
- Obtén información para responder a las notificaciones de Acciones Sensibles.
- Obtén más información para habilitar o inhabilitar las notificaciones.