Cette page présente le service d'actions sensibles, un service intégré de Security Command Center qui détecte les actions effectuées dans votre organisation, vos dossiers et vos projets Google Cloud qui pourraient nuire à votre entreprise si elles sont effectuées par un acteur malveillant.
Dans la plupart des cas, les actions détectées par le service d'actions sensibles ne représentent pas de menaces, car elles sont effectuées par des utilisateurs légitimes à des fins légitimes. Toutefois, le service Actions sensibles ne peut pas de manière concluante. Vous devrez donc peut-être étudier les résultats avant de pouvoir être sûr qu’ils ne représentent pas une menace.
Fonctionnement du service d'actions sensibles
Le service des actions sensibles surveille automatiquement l'ensemble Journaux d'audit pour les activités d'administration en cas d'actions sensibles. Les journaux d'audit pour les activités d'administration sont toujours activés. Vous n'avez donc pas besoin de les activer ni de les configurer.
Lorsque le service d'actions sensibles détecte une action sensible effectuée par un compte Google, il envoie un résultat à Security Command Center dans la console Google Cloud et une entrée de journal dans les journaux de la plate-forme Google Cloud.
Les résultats du service Actions sensibles sont classés comme des observations et peuvent être en recherchant un cours ou une source dans l'onglet Résultats Console Security Command Center
Restrictions
Les sections suivantes décrivent les restrictions qui s'appliquent au service Sensitive Actions.
Assistance concernant les comptes
La détection du service des actions sensibles est limitée aux actions effectuées par l'utilisateur Google Cloud.
Restrictions de chiffrement et de résidence des données
Pour détecter les actions sensibles, le service des actions sensibles doit pouvoir analyser les journaux d'audit des activités d'administration de votre organisation.
Si votre organisation chiffre vos journaux à l'aide de clés de chiffrement gérées par le client (CMEK), le service d'actions sensibles ne peut pas les lire et, par conséquent, ne peut pas vous alerter lorsque des actions sensibles se produisent.
Les actions sensibles ne peuvent pas être détectées si vous avez configuré l'emplacement de
bucket de journaux pour que vos journaux d'audit pour les activités d'administration se trouvent dans un autre emplacement
que l'emplacement global. Par exemple, si vous avez spécifié un espace de stockage
position pour l'élément _Required
un bucket de journaux d'un projet, d'un dossier ou d'une organisation spécifique,
Le projet, le dossier ou l'organisation ne peuvent pas être analysés pour détecter des actions sensibles.
Résultats du service Sensitive Actions
Le tableau suivant présente les catégories de résultats pour lesquelles le service Sensitive Actions peut produire. Le nom à afficher de chaque résultat commence par la tactique MITRE ATT&CK pouvant être utilisée pour l'action détectée.
| Nom à afficher | Nom de l'API | Description |
|---|---|---|
Defense Evasion: Organization Policy Changed |
change_organization_policy |
Une règle d'administration au niveau de l'organisation a été créée, mise à jour dans une organisation datant de plus de 10 jours. Ce résultat n'est pas disponible pour les activations au niveau du projet. |
Defense Evasion: Remove Billing Admin |
remove_billing_admin |
Un rôle IAM d'administrateur de la facturation au niveau de l'organisation a été supprimé dans une organisation datant de plus de 10 jours. |
Impact: GPU Instance Created |
gpu_instance_created |
Une instance GPU a été créée, mais le compte principal à l'origine de la création n'a pas a récemment créé une instance GPU dans le même projet. |
Impact: Many Instances Created |
many_instances_created |
De nombreuses instances ont été créées dans un projet par le même administrateur en une seule journée. |
Impact: Many Instances Deleted |
many_instances_deleted |
De nombreuses instances d'un projet ont été supprimées principal en une journée. |
Persistence: Add Sensitive Role |
add_sensitive_role |
IAM sensible ou à privilèges élevés au niveau de l'organisation a été attribué dans une organisation datant de plus de 10 jours. Ce résultat n'est pas disponible pour les activations au niveau du projet. |
Persistence: Project SSH Key Added |
add_ssh_key |
Une clé SSH au niveau du projet a été créée dans un projet datant de plus de 10 jours. |
Étape suivante
- En savoir plus à l'aide du service Sensitive Actions.
- Découvrez comment examiner et développer des plans d'intervention sur les menaces.