A proteção de ambientes de nuvem exige a proteção de contas do Identity and Access Management contra comprometendo. A violação de uma conta de usuário privilegiada permite que um invasor faça mudanças em um ambiente de nuvem. Portanto, detectar possíveis comprometimentos é essencial para proteger organizações de todos os tamanhos. Para ajudar as organizações a manter a segurança, oGoogle Cloud registra ações sensíveis realizadas pelas contas de usuário do IAM e notifica os administradores da organização dessas ações diretamente por notificações de aviso.
Ações sensíveis são ações que podem ter um efeito negativo significativo na Google Cloud organização se forem realizadas por uma pessoa mal-intencionada usando uma conta comprometida. Essas ações, por si só, não representam necessariamente uma ameaça à sua organização nem indicam que uma conta foi comprometida. No entanto, recomendamos que você confirme se as ações foram realizadas pelos usuários com finalidades legítimas.
Quem recebe notificações de ações sensíveis
OGoogle Cloud notifica sua organização sobre ações sensíveis enviando uma notificação por e-mail para os contatos essenciais da organização por motivos de segurança. Se não houver contatos essenciais configurados, a notificação por e-mail será enviada para todas as contas que tiverem o papel de administrador do IAM da organização no nível da organização.
Recusando
Se você não quiser receber notificações de ações sensíveis na sua organização, desative essas notificações. Para mais informações, consulte Configurar notificações. A desativação das notificações de ações sensíveis afeta apenas as notificações enviadas por notificações de aviso. Os registros de ações sensíveis são sempre gerados e não são afetados pela desativação das notificações. Se você usa o Security Command Center, o Serviço de ações sensíveis não é afetado pela desativação das notificações de ações sensíveis.
Como as Ações sensíveis funcionam
OGoogle Cloud detecta ações sensíveis monitorando os registros de auditoria de atividade do administrador da sua organização. Quando uma ação sensível é detectada, Google Cloud grava a ação no registro da plataforma do Serviço de ações sensíveis no mesmo recurso em que a atividade ocorreu. Google Cloud Também inclui o evento em uma notificação enviada por notificações de aviso.
Frequência de notificação
Na primeira vez que uma ação sensível é observada na sua organização, você recebe um relatório que inclui a ação inicial e todas as outras ações que ocorrem na hora seguinte. Depois do relatório inicial, você vai receber relatórios de novas ações sensíveis na sua organização, no máximo uma vez a cada 30 dias. Se não houver ações sensíveis na sua organização por um longo período, você poderá receber o relatório de uma hora na próxima vez que uma ação sensível for observada.
Quando as ações sensíveis não são produzidas
Google Cloud informa ações sensíveis apenas se o principal que realiza a ação for uma conta de usuário. As ações realizadas por uma conta de serviço não são informadas. O Google desenvolveu esse recurso para se proteger contra invasores que têm acesso às credenciais do usuário final e as usam para realizar ações indesejadas em ambientes de nuvem. Como muitas dessas ações são comportamentos comuns para contas de serviço, os registros e as notificações de aviso não são produzidos para essas identidades.
Ações sensíveis não podem ser detectadas se você tiver configurado os registros de auditoria de atividade do administrador
para serem localizados em uma região específica (ou seja, não a região
global). Por exemplo, se você tiver especificado uma região de armazenamento para o bucket de registros _Required em um determinado recurso, os registros desse recurso não poderão ser verificados quanto a ações sensíveis.
Se você configurou os registros de auditoria de atividades do administrador para serem criptografados com chaves de criptografia gerenciadas pelo cliente, não é possível verificar se há ações sensíveis nos registros.
Ações sensíveis no Security Command Center
Se você usa o Security Command Center, pode receber ações sensíveis como descobertas pelo serviço de ações sensíveis.
Embora os registros de ações sensíveis e as notificações de aviso ofereçam uma perspectiva do comportamento da conta na sua organização, o Security Command Center oferece mais insights e recursos de gerenciamento para equipes de segurança que estão protegendo cargas de trabalho e ambientes mais complexos, grandes ou importantes. Recomendamos monitorar as Ações sensíveis como parte da sua estratégia geral de monitoramento de segurança.
Para mais informações sobre o Security Command Center, consulte:
Preços
As notificações para ações sensíveis em notificações de aviso são fornecidas sem custo extra. Os registros de ações sensíveis no Cloud Logging geram custos de ingestão e armazenamento de acordo com a precificação de registros. O volume de entradas de registro de ações sensíveis depende da frequência com que as contas de usuário na organização realizam ações sensíveis. Essas ações geralmente são incomuns.
Tipos de ações sensíveis
OGoogle Cloud informa os seguintes tipos de ações sensíveis.
Sensitive Roles Added
Um principal com o papel de proprietário (roles/owner) ou editor (roles/editor)
do IAM foi concedido no nível da organização. Essas funções
permitem um grande número de ações em toda a organização.
Billing Admin Removed
Uma função do IAM de administrador da conta de faturamento (roles/billing.admin) foi removida no nível da organização. A remoção dessa função pode impedir que os usuários
tenham visibilidade e fornecer um mecanismo para que um invasor permaneça sem ser detectado.
Organization Policy Changed
Uma política da organização foi criada, atualizada ou excluída no nível da organização. As políticas da organização nesse nível podem afetar a segurança de todos os recursos Google Cloud da organização.
Project-level SSH Key Added
Uma chave SSH no nível do projeto foi adicionada a um Google Cloud projeto que não tinha essa chave. As chaves SSH no nível do projeto podem conceder acesso a todas as máquinas virtuais (VMs) do projeto.
GPU Instance Created
Uma VM com uma GPU foi criada em um projeto por uma pessoa que não havia criado uma instância de GPU nesse projeto recentemente. Instâncias do Compute Engine com GPUs podem hospedar cargas de trabalho, como a mineração de criptomoedas.
Many Instances Created
Várias instâncias de VM foram criadas por um usuário em um determinado projeto. Grandes números de instâncias de VM podem ser usados para cargas de trabalho inesperadas, como mineração de criptomoedas ou ataques de negação de serviço.
Many Instances Deleted
Várias instâncias de VM foram excluídas por um usuário em um determinado projeto. Grandes números de exclusões de instâncias podem interromper sua empresa.
A seguir
- Saiba como visualizar notificações.
- Saiba como responder a notificações de ações sensíveis.
- Saiba como ativar ou desativar as notificações.