Ringkasan Layanan Tindakan Sensitif

Halaman ini memberikan ringkasan tentang Layanan Tindakan Sensitif, layanan bawaan Security Command Center yang mendeteksi saat tindakan dilakukan di organisasi, folder, dan project Google Cloud Anda yang dapat merusak bisnis Anda jika dilakukan oleh pelaku kejahatan.

Dalam sebagian besar kasus, tindakan yang terdeteksi oleh Layanan Tindakan Sensitif tidak mewakili ancaman, karena tindakan tersebut dilakukan oleh pengguna yang sah untuk tujuan yang sah. Namun, Layanan Tindakan Sensitif tidak dapat menentukan legitimasi secara meyakinkan, sehingga Anda mungkin perlu menyelidiki temuan sebelum dapat memastikan bahwa temuan tersebut tidak menimbulkan ancaman.

Cara kerja Layanan Tindakan Sensitif

Layanan Tindakan Sensitif secara otomatis memantau semua log audit Aktivitas Admin organisasi Anda untuk menemukan tindakan sensitif. Log audit Aktivitas Admin selalu aktif, sehingga Anda tidak perlu mengaktifkan atau mengonfigurasinya.

Saat Layanan Tindakan Sensitif mendeteksi tindakan sensitif yang dilakukan oleh akun Google, Layanan Tindakan Sensitif akan menulis temuan ke Security Command Center di konsol Google Cloud dan entri log ke log platform Google Cloud.

Temuan Sensitive Actions Service diklasifikasikan sebagai pengamatan dan dapat dilihat dengan menemukan class atau menemukan sumber di tab Temuan di konsol Security Command Center.

Pembatasan

Bagian berikut menjelaskan batasan yang berlaku untuk Layanan Tindakan Sensitif.

Dukungan akun

Deteksi Layanan Tindakan Sensitif terbatas pada tindakan yang dilakukan oleh akun pengguna.

Batasan enkripsi dan residensi data

Untuk mendeteksi tindakan sensitif, Layanan Tindakan Sensitif harus dapat menganalisis log audit Aktivitas Admin organisasi Anda.

Jika organisasi Anda mengenkripsi log menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) untuk mengenkripsi log, Layanan Tindakan Sensitif tidak dapat membaca log Anda dan, akibatnya, tidak dapat memberi tahu Anda saat tindakan sensitif terjadi.

Tindakan sensitif tidak dapat dideteksi jika Anda telah mengonfigurasi lokasi bucket log untuk Log Audit Aktivitas Admin Anda agar berada di lokasi selain lokasi global. Misalnya, jika Anda telah menentukan lokasi penyimpanan untuk bucket log _Required di project, folder, atau organisasi tertentu, log dari project, folder, atau organisasi tersebut tidak dapat dipindai untuk tindakan sensitif.

Temuan Layanan Tindakan Sensitif

Tabel berikut menunjukkan kategori temuan yang dapat dihasilkan Layanan Tindakan Sensitif. Nama tampilan untuk setiap temuan dimulai dengan taktik MITRE ATT&CK yang dapat digunakan untuk tindakan yang terdeteksi.

Nama tampilan Nama API Deskripsi
Defense Evasion: Organization Policy Changed change_organization_policy

Kebijakan organisasi tingkat organisasi dibuat, diperbarui, atau dihapus, di organisasi yang sudah lebih dari 10 hari.

Temuan ini tidak tersedia untuk aktivasi tingkat project.

Defense Evasion: Remove Billing Admin remove_billing_admin Peran IAM administrator penagihan tingkat organisasi dihapus, di organisasi yang sudah lebih dari 10 hari.
Impact: GPU Instance Created gpu_instance_created Instance GPU dibuat, dengan akun pembuat belum membuat instance GPU di project yang sama baru-baru ini.
Impact: Many Instances Created many_instances_created Banyak instance dibuat dalam project oleh akun utama yang sama dalam satu hari.
Impact: Many Instances Deleted many_instances_deleted Banyak instance dihapus dalam project oleh akun utama yang sama dalam satu hari.
Persistence: Add Sensitive Role add_sensitive_role

Peran IAM tingkat organisasi yang sensitif atau memiliki hak istimewa tinggi diberikan di organisasi yang sudah lebih dari 10 hari.

Temuan ini tidak tersedia untuk aktivasi tingkat project.

Persistence: Project SSH Key Added add_ssh_key Kunci SSH tingkat project dibuat di project, untuk project yang sudah lebih dari 10 hari.

Langkah selanjutnya