Nesta página, você encontra uma visão geral do Serviço de ações sensíveis, um serviço integrado do Security Command Center que detecta quando ações realizadas na organização, pastas e projetos do Google Cloud podem ser prejudiciais à sua empresa se forem feitas por uma pessoa mal-intencionada.
Na maioria dos casos, as ações detectadas pelo Serviço de ações sensíveis não representam ameaças, porque são realizadas por usuários legítimos para fins legítimos. No entanto, o Serviço de ações sensíveis não pode determinar a legitimidade de forma conclusiva. Portanto, talvez seja necessário investigar as descobertas antes de ter certeza de que elas não representam uma ameaça.
Como o Serviço de ações sensíveis funciona
O Serviço de ações sensíveis monitora automaticamente todos os registros de auditoria de atividade do administrador da sua organização para identificar ações sensíveis. Os registros de auditoria de atividades do administrador estão sempre ativados. Portanto, não é necessário ativá-los ou configurá-los.
Quando o Serviço de ações sensíveis detecta uma ação realizada por uma Conta do Google, ele grava uma descoberta no Security Command Center no console do Google Cloud e uma entrada de registro dos registros do Google Cloud Platform.
As descobertas do serviço de ações sensíveis são classificadas como observações e podem ser acessado encontrando a turma ou a fonte na guia Descobertas na Console do Security Command Center.
Restrições
As seções a seguir descrevem as restrições que se aplicam ao serviço de ações sensíveis.
Suporte da conta
A detecção do Serviço de ações sensíveis está limitada às ações realizadas pelas contas de usuário.
Restrições de criptografia e residência de dados
Para detectar ações sensíveis, o Serviço de ações sensíveis precisa analisar os registros de auditoria de atividade do administrador da sua organização.
Se a organização criptografa seus registros usando chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês), o Serviço de ações sensíveis não pode ler os registros e, consequentemente, não pode enviar alertas quando ações sensíveis ocorrem.
Ações sensíveis não podem ser detectadas se você tiver configurado o local do bucket de registros para que os registros de auditoria de atividade do administrador estejam em um local diferente do global
. Por exemplo, se você especificar um local de armazenamento para o bucket de registros _Required
em um determinado projeto, pasta ou organização, os registros desse projeto, pasta ou organização não poderão ser verificados quanto a ações sensíveis.
Descobertas do Serviço de ações sensíveis
A tabela a seguir mostra as categorias de descoberta que o Serviço de ações sensíveis pode produzir. O nome de exibição de cada descoberta começa com a tática ATT&CK do MITRE para a qual a ação detectada pode ser usada.
Nome de exibição | Nome da API | Descrição |
---|---|---|
Defense Evasion: Organization Policy Changed |
change_organization_policy |
Uma política da organização no nível da organização foi criada, atualizada ou excluída, em uma organização com mais de 10 dias. Essa descoberta não está disponível para ativações no nível do projeto. |
Defense Evasion: Remove Billing Admin |
remove_billing_admin |
Um papel do IAM de administrador de faturamento no nível da organização foi removido em uma organização com mais de 10 dias. |
Impact: GPU Instance Created |
gpu_instance_created |
Uma instância de GPU foi criada, em que o principal de criação não criou uma instância de GPU no mesmo projeto recentemente. |
Impact: Many Instances Created |
many_instances_created |
Muitas instâncias foram criadas em um projeto pelo mesmo principal em um dia. |
Impact: Many Instances Deleted |
many_instances_deleted |
Muitas instâncias foram excluídas em um projeto pelo mesmo principal em um dia. |
Persistence: Add Sensitive Role |
add_sensitive_role |
Um papel do IAM sensível ou altamente privilegiado no nível da organização foi concedido em uma organização com mais de 10 dias. Essa descoberta não está disponível para ativações no nível do projeto. |
Persistence: Project SSH Key Added |
add_ssh_key |
Uma chave SSH no nível do projeto foi criada em um projeto com mais de 10 dias. |
A seguir
- Saiba mais sobre como usar o Serviço de ações sensíveis.
- Saiba como investigar e desenvolver planos de resposta em busca de ameaças.