Esta página se ha traducido con Cloud Translation API.

Información general sobre el servicio Acciones sensibles

En esta página se ofrece una descripción general de Sensitive Actions Service, un servicio integrado de Security Command Center que detecta cuándo se llevan a cabo acciones en tu Google Cloud organización, carpetas y proyectos que podrían dañar tu empresa si las realiza un agente malintencionado.

En la mayoría de los casos, las acciones que detecta el servicio Acciones Sensibles no representan amenazas, ya que las realizan usuarios legítimos con fines legítimos. Sin embargo, el servicio Acciones Sensibles no puede determinar de forma concluyente la legitimidad, por lo que es posible que tengas que investigar los resultados antes de asegurarte de que no representan una amenaza.

Cómo funciona el servicio de acciones sensibles

El servicio Acciones sensibles monitoriza automáticamente todos los registros de auditoría de actividad de administración de tu organización para detectar acciones sensibles. Los registros de auditoría de actividad de administración están siempre activados, por lo que no es necesario habilitarlos ni configurarlos.

Cuando el servicio Acciones Sensibles detecta una acción sensible realizada por una cuenta de Google, escribe un resultado en Security Command Center en la consola de Google Cloud y una entrada de registro en los registros de la plataforma Google Cloud .

Los resultados del servicio Acciones sensibles se clasifican como observaciones y se pueden ver por clase o fuente en la página Resultados de la consola de Security Command Center.

Restricciones

En las siguientes secciones se describen las restricciones que se aplican al servicio Acciones Sensibles.

Asistencia para cuentas

La detección del servicio de acciones sensibles se limita a las acciones realizadas por cuentas de usuario.

Restricciones de cifrado y residencia de datos

Para detectar acciones sensibles, el servicio Acciones Sensibles debe poder analizar los registros de auditoría de actividad de administrador de tu organización.

Si tu organización cifra los registros con claves de cifrado gestionadas por el cliente (CMEK), el servicio Acciones sensibles no podrá leerlos y, por lo tanto, no podrá enviarte alertas cuando se produzcan acciones sensibles.

Las acciones sensibles no se pueden detectar si has configurado la ubicación del contenedor de registros de tus registros de auditoría de actividad administrativa en un lugar que no sea global. Por ejemplo, si has especificado una ubicación de almacenamiento para el _Required cubo de registros de un proyecto, una carpeta o una organización concretos, no se podrán analizar los registros de ese proyecto, carpeta u organización para detectar acciones sensibles.

Resultados del servicio Acciones sensibles

En la siguiente tabla se muestran las categorías de resultados que puede generar el servicio Acciones sensibles. El nombre visible de cada resultado empieza con la táctica de MITRE ATT&CK para la que se podría usar la acción detectada.

Nombre visible	Nombre de la API	Descripción
`Defense Evasion: Organization Policy Changed`	`change_organization_policy`	Se ha creado, actualizado o eliminado una política de organización a nivel de organización en una organización que tiene más de 10 días. Este hallazgo no está disponible para las activaciones a nivel de proyecto.
`Defense Evasion: Remove Billing Admin`	`remove_billing_admin`	Se ha quitado un rol de IAM de administrador de facturación a nivel de organización en una organización que tiene más de 10 días.
`Impact: GPU Instance Created`	`gpu_instance_created`	Se ha creado una instancia de GPU, en la que la entidad creadora no ha creado una instancia de GPU en el mismo proyecto recientemente.
`Impact: Many Instances Created`	`many_instances_created`	Se han creado muchas instancias en un proyecto por el mismo principal en un día.
`Impact: Many Instances Deleted`	`many_instances_deleted`	Un mismo administrador eliminó muchas instancias de un proyecto en un día.
`Persistence: Add Sensitive Role`	`add_sensitive_role`	Se ha concedido un rol de gestión de identidades y accesos a nivel de organización sensible o con privilegios elevados en una organización que tiene más de 10 días. Este hallazgo no está disponible para las activaciones a nivel de proyecto.
`Persistence: Project SSH Key Added`	`add_ssh_key`	Se ha creado una clave SSH a nivel de proyecto en un proyecto que tiene más de 10 días.

Siguientes pasos

Consulta información sobre cómo usar el servicio de acciones sensibles.
Consulta cómo investigar y desarrollar planes de respuesta ante amenazas.