Halaman ini memberikan ringkasan tentang Layanan Tindakan Sensitif, layanan bawaan Security Command Center yang mendeteksi saat tindakan dilakukan di organisasi, folder, dan project Google Cloud Anda yang dapat merusak bisnis Anda jika dilakukan oleh pelaku kejahatan.
Dalam sebagian besar kasus, tindakan yang terdeteksi oleh Layanan Tindakan Sensitif tidak mewakili ancaman, karena tindakan tersebut dilakukan oleh pengguna yang sah untuk tujuan yang sah. Namun, Layanan Tindakan Sensitif tidak dapat menentukan legitimasi secara meyakinkan, sehingga Anda mungkin perlu menyelidiki temuan sebelum dapat memastikan bahwa temuan tersebut tidak menimbulkan ancaman.
Cara kerja Layanan Tindakan Sensitif
Layanan Tindakan Sensitif secara otomatis memantau semua log audit Aktivitas Admin organisasi Anda untuk menemukan tindakan sensitif. Log audit Aktivitas Admin selalu aktif, sehingga Anda tidak perlu mengaktifkan atau mengonfigurasinya.
Saat Layanan Tindakan Sensitif mendeteksi tindakan sensitif yang dilakukan oleh akun Google, Layanan Tindakan Sensitif akan menulis temuan ke Security Command Center di konsol Google Cloud dan entri log ke log platform Google Cloud.
Temuan Sensitive Actions Service diklasifikasikan sebagai pengamatan dan dapat dilihat dengan menemukan class atau menemukan sumber di tab Temuan di konsol Security Command Center.
Pembatasan
Bagian berikut menjelaskan batasan yang berlaku untuk Layanan Tindakan Sensitif.
Dukungan akun
Deteksi Layanan Tindakan Sensitif terbatas pada tindakan yang dilakukan oleh akun pengguna.
Batasan enkripsi dan residensi data
Untuk mendeteksi tindakan sensitif, Layanan Tindakan Sensitif harus dapat menganalisis log audit Aktivitas Admin organisasi Anda.
Jika organisasi Anda mengenkripsi log menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) untuk mengenkripsi log, Layanan Tindakan Sensitif tidak dapat membaca log Anda dan, akibatnya, tidak dapat memberi tahu Anda saat tindakan sensitif terjadi.
Tindakan sensitif tidak dapat dideteksi jika Anda telah mengonfigurasi lokasi
bucket log untuk Log Audit Aktivitas Admin Anda agar berada di lokasi selain
lokasi global
. Misalnya, jika Anda telah menentukan lokasi penyimpanan untuk bucket log _Required
di project, folder, atau organisasi tertentu, log dari project, folder, atau organisasi tersebut tidak dapat dipindai untuk tindakan sensitif.
Temuan Layanan Tindakan Sensitif
Tabel berikut menunjukkan kategori temuan yang dapat dihasilkan Layanan Tindakan Sensitif. Nama tampilan untuk setiap temuan dimulai dengan taktik MITRE ATT&CK yang dapat digunakan untuk tindakan yang terdeteksi.
Nama tampilan | Nama API | Deskripsi |
---|---|---|
Defense Evasion: Organization Policy Changed |
change_organization_policy |
Kebijakan organisasi tingkat organisasi dibuat, diperbarui, atau dihapus, di organisasi yang sudah lebih dari 10 hari. Temuan ini tidak tersedia untuk aktivasi tingkat project. |
Defense Evasion: Remove Billing Admin |
remove_billing_admin |
Peran IAM administrator penagihan tingkat organisasi dihapus, di organisasi yang sudah lebih dari 10 hari. |
Impact: GPU Instance Created |
gpu_instance_created |
Instance GPU dibuat, dengan akun pembuat belum membuat instance GPU di project yang sama baru-baru ini. |
Impact: Many Instances Created |
many_instances_created |
Banyak instance dibuat dalam project oleh akun utama yang sama dalam satu hari. |
Impact: Many Instances Deleted |
many_instances_deleted |
Banyak instance dihapus dalam project oleh akun utama yang sama dalam satu hari. |
Persistence: Add Sensitive Role |
add_sensitive_role |
Peran IAM tingkat organisasi yang sensitif atau memiliki hak istimewa tinggi diberikan di organisasi yang sudah lebih dari 10 hari. Temuan ini tidak tersedia untuk aktivasi tingkat project. |
Persistence: Project SSH Key Added |
add_ssh_key |
Kunci SSH tingkat project dibuat di project, untuk project yang sudah lebih dari 10 hari. |
Langkah selanjutnya
- Pelajari cara menggunakan Layanan Tindakan Sensitif.
- Pelajari cara menyelidiki dan mengembangkan rencana respons untuk ancaman.