Pour protéger les environnements cloud, vous devez protéger les comptes Identity and Access Management contre les accès non autorisés. La compromission d'un compte utilisateur privilégié permet à un pirate informatique d'apporter des modifications à un environnement cloud. Il est donc essentiel de détecter les compromissions potentielles pour sécuriser les organisations de toutes tailles. Pour aider les organisations à assurer la sécurité,Google Cloud consigne les actions sensibles effectuées par les comptes utilisateur IAM et avertit directement les administrateurs de l'organisation de ces actions via des notifications d'avertissement.
Les actions sensibles sont des actions qui peuvent avoir un impact négatif significatif sur votre Google Cloud organisation si elles sont effectuées par une personne malveillante utilisant un compte piraté. Ces actions ne représentent pas nécessairement une menace pour votre organisation ni n'indiquent qu'un compte a été compromis. Toutefois, nous vous recommandons de vérifier que les actions ont été effectuées par vos utilisateurs à des fins légitimes.
Qui reçoit les notifications d'actions sensibles ?
Google Cloud informe votre organisation des actions sensibles en envoyant une notification par e-mail à vos contacts essentiels au niveau de l'organisation à des fins de sécurité. Si aucun contact essentiel n'est configuré, la notification par e-mail est envoyée à tous les comptes disposant du rôle IAM "Organisation Admin" au niveau de l'organisation.
Désactivation…
Si vous ne souhaitez pas recevoir de notifications sur les actions sensibles dans votre organisation, vous pouvez les désactiver. Pour en savoir plus, consultez la section Configurer les notifications. La désactivation des notifications d'actions sensibles ne concerne que les notifications envoyées via les notifications d'avis. Les journaux des actions sensibles sont toujours générés et ne sont pas affectés par la désactivation des notifications. Si vous utilisez Security Command Center, le service Actions sensibles n'est pas affecté par la désactivation des notifications d'actions sensibles.
Fonctionnement des actions sensibles
Google Cloud détecte les actions sensibles en surveillant les journaux d'audit des activités d'administration de votre organisation. Lorsqu'une action sensible est détectée, Google Cloud consigne l'action dans le journal de la plate-forme du service d'actions sensibles dans la même ressource que l'activité. Google Cloud inclut également l'événement dans une notification envoyée via les notifications d'avis.
Fréquence de notification
La première fois qu'une action sensible est observée dans votre organisation, vous recevez un rapport qui inclut l'action initiale, ainsi que toutes les autres actions qui se produisent dans l'heure qui suit. Après le rapport initial, vous recevrez des rapports sur les nouvelles actions sensibles dans votre organisation au maximum une fois tous les 30 jours. Si aucune action sensible n'a été effectuée dans votre organisation depuis longtemps, vous pouvez recevoir le rapport d'une heure la prochaine fois qu'une action sensible sera observée.
Lorsque les actions sensibles ne sont pas générées
Google Cloud ne signale les actions sensibles que si le principal qui effectue l'action est un compte utilisateur. Les actions effectuées par un compte de service ne sont pas enregistrées. Google a développé cette fonctionnalité pour se protéger contre les pirates informatiques qui accèdent aux identifiants des utilisateurs finaux et les utilisent pour effectuer des actions indésirables dans les environnements cloud. Étant donné que de nombreuses actions correspondent à un comportement courant pour les comptes de service, les journaux et les notifications d'avis ne sont pas générés pour ces identités.
Les actions sensibles ne peuvent pas être détectées si vous avez configuré vos journaux d'audit de l'activité des administrateurs dans une région spécifique (autre que la région global). Par exemple, si vous avez spécifié une région de stockage pour le bucket de journaux _Required dans une certaine ressource, les journaux de cette ressource ne peuvent pas être analysés pour détecter les actions sensibles.
Si vous avez configuré vos journaux d'audit des activités d'administration pour qu'ils soient chiffrés à l'aide de clés de chiffrement gérées par le client, vos journaux ne peuvent pas être analysés pour détecter les actions sensibles.
Actions sensibles dans Security Command Center
Si vous utilisez Security Command Center, vous pouvez recevoir des actions sensibles en tant que résultats via le service Actions sensibles.
Bien que les journaux des actions sensibles et les notifications d'avertissement fournissent un aperçu du comportement des comptes dans votre organisation, Security Command Center offre des insights et des fonctionnalités de gestion supplémentaires aux équipes de sécurité qui protègent des environnements et des charges de travail plus complexes, plus importants ou plus volumineux. Nous vous recommandons de surveiller les actions sensibles dans le cadre de votre stratégie globale de surveillance de la sécurité.
Pour en savoir plus sur Security Command Center, consultez les ressources suivantes:
Tarifs
Les notifications pour les actions sensibles dans les notifications d'avis sont fournies sans frais supplémentaires. Les journaux d'actions sensibles dans Cloud Logging entraînent des coûts d'ingestion et de stockage conformément aux tarifs de journalisation. Le volume d'entrées de journal des actions sensibles dépend de la fréquence à laquelle les comptes utilisateur de votre organisation effectuent des actions sensibles. Ces actions sont généralement inhabituelles.
Types d'actions sensibles
Google Cloud vous informe des types d'actions sensibles suivants.
Sensitive Roles Added
Un compte principal disposant d'un rôle IAM de propriétaire (roles/owner) ou d'éditeur (roles/editor) a été accordé au niveau de l'organisation. Ces rôles permettent d'effectuer un grand nombre d'actions dans votre organisation.
Billing Admin Removed
Un rôle IAM Administrateur de compte de facturation (roles/billing.admin) a été supprimé au niveau de l'organisation. La suppression de ce rôle peut empêcher les utilisateurs d'avoir une visibilité et fournir un mécanisme permettant à un pirate informatique de rester indétectable.
Organization Policy Changed
Une règle d'administration a été créée, mise à jour ou supprimée au niveau de l'organisation. Les règles d'administration au niveau de l'organisation peuvent avoir une incidence sur la sécurité de toutes les ressourcesGoogle Cloud de votre organisation.
Project-level SSH Key Added
Une clé SSH au niveau du projet a été ajoutée à un Google Cloud projet qui ne disposait pas auparavant d'une telle clé. Les clés SSH au niveau du projet peuvent accorder l'accès à toutes les machines virtuelles (VM) du projet.
GPU Instance Created
Une VM avec un GPU a été créée dans un projet par une personne qui n'avait pas créé d'instance de GPU dans ce projet récemment. Les instances Compute Engine avec GPU peuvent héberger des charges de travail telles que l'extraction de cryptomonnaies.
Many Instances Created
Un utilisateur a créé plusieurs instances de VM dans un projet donné. Un grand nombre d'instances de VM peuvent être utilisées pour des charges de travail inattendues telles que le minage de cryptomonnaies ou les attaques de déni de service.
Many Instances Deleted
Un utilisateur a supprimé plusieurs instances de VM dans un projet donné. Un grand nombre de suppressions d'instances peut perturber votre activité.
Étape suivante
- Découvrez comment afficher les notifications.
- Découvrez comment répondre aux notifications d'actions sensibles.
- Découvrez comment activer ou désactiver les notifications.