Présentation du service d'actions sensibles

Cette page présente le service d'actions sensibles, un service intégré de Security Command Center qui détecte les actions effectuées dans votre organisation, vos dossiers et vos projets Google Cloud qui pourraient nuire à votre entreprise si elles étaient effectuées par une personne malveillante.

Dans la plupart des cas, les actions détectées par le service d'actions sensibles ne représentent pas de menaces, car elles sont effectuées par des utilisateurs légitimes à des fins légitimes. Toutefois, le service d'actions sensibles ne peut pas déterminer de manière définitive la légitimité. Vous devrez peut-être examiner les résultats avant de vous assurer qu'ils ne représentent pas une menace.

Fonctionnement du service d'actions sensibles

Le service des actions sensibles surveille automatiquement tous les journaux d'audit des activités d'administration de votre organisation pour détecter les actions sensibles. Les journaux d'audit pour les activités d'administration sont toujours activés. Vous n'avez donc pas besoin de les activer ni de les configurer.

Lorsque le service d'actions sensibles détecte une action sensible effectuée par un compte Google, il envoie un résultat à Security Command Center dans la console Google Cloud et une entrée de journal dans les journaux de la plate-forme Google Cloud.

Les résultats du service Actions sensibles sont classés comme observations et peuvent être affichés par classe de résultat ou par source de résultat dans l'onglet Résultats de la console Security Command Center.

Restrictions

Les sections suivantes décrivent les restrictions qui s'appliquent au service d'actions sensibles.

Assistance concernant les comptes

La détection du service d'actions sensibles est limitée aux actions effectuées par les comptes utilisateur.

Restrictions liées au chiffrement et à la résidence des données

Pour détecter les actions sensibles, le service des actions sensibles doit pouvoir analyser les journaux d'audit des activités d'administration de votre organisation.

Si votre organisation chiffre vos journaux à l'aide de clés de chiffrement gérées par le client (CMEK), le service d'actions sensibles ne peut pas les lire et, par conséquent, ne peut pas vous alerter lorsque des actions sensibles se produisent.

Les actions sensibles ne peuvent pas être détectées si vous avez configuré l'emplacement du bucket de journaux pour vos journaux d'audit des activités d'administration à un autre emplacement que celui de global. Par exemple, si vous avez spécifié un emplacement de stockage pour le bucket de journaux _Required dans un projet, un dossier ou une organisation donnés, les journaux de ce projet, de ce dossier ou de cette organisation ne peuvent pas être analysés pour détecter les actions sensibles.

Résultats du service d'actions sensibles

Le tableau suivant présente les catégories de résultats que le service d'actions sensibles peut générer. Le nom à afficher pour chaque résultat commence par la tactique MITRE ATT&CK pouvant être utilisée pour l'action détectée.

Nom à afficher Nom de l'API Description
Defense Evasion: Organization Policy Changed change_organization_policy

Une règle d'administration au niveau de l'organisation a été créée, mise à jour ou supprimée dans une organisation datant de plus de 10 jours.

Cette information n'est pas disponible pour les activations au niveau du projet.

Defense Evasion: Remove Billing Admin remove_billing_admin Un rôle IAM d'administrateur de facturation au niveau de l'organisation a été supprimé dans une organisation datant de plus de 10 jours.
Impact: GPU Instance Created gpu_instance_created Une instance GPU a été créée, alors que le principal de création n'a pas créé récemment d'instance GPU dans le même projet.
Impact: Many Instances Created many_instances_created De nombreuses instances ont été créées dans un projet par le même administrateur en une seule journée.
Impact: Many Instances Deleted many_instances_deleted De nombreuses instances ont été supprimées dans un projet par le même administrateur en une seule journée.
Persistence: Add Sensitive Role add_sensitive_role

Un rôle IAM sensible ou hautement privilégié au niveau de l'organisation a été attribué à une organisation âgée de plus de 10 jours.

Cette information n'est pas disponible pour les activations au niveau du projet.

Persistence: Project SSH Key Added add_ssh_key Une clé SSH au niveau du projet a été créée dans un projet datant de plus de 10 jours.

Étape suivante