Diese Seite bietet eine Übersicht über den Sensitive Actions Service, einen in Security Command Center integrierten Dienst. Er erkennt, wenn Aktionen in Ihrer Google Cloud-Organisation, -Ordnern und -Projekten ausgeführt werden, die Ihrem Unternehmen schaden könnten, wenn sie von einem böswilligen Akteur ausgeführt werden.
In den meisten Fällen stellen die vom Sensitive Actions Service erkannten Aktionen keine Bedrohungen dar, da sie von legitimen Nutzern zu legitimen Zwecken ausgeführt werden. Der Dienst für sensible Aktionen kann die Rechtmäßigkeit jedoch nicht eindeutig bestimmen. Daher müssen Sie die Ergebnisse möglicherweise überprüfen, bevor Sie sicher sein können, dass sie keine Bedrohung darstellen.
So funktioniert der Dienst für sensible Aktionen
Der Dienst für sensible Aktionen überwacht automatisch alle Audit-Logs zu Administratoraktivitäten Ihrer Organisation auf vertrauliche Aktionen. Audit-Logs zur Administratoraktivität sind immer aktiviert, sodass Sie sie nicht aktivieren oder anderweitig konfigurieren müssen.
Wenn der Dienst für sensible Aktionen eine vertrauliche Aktion erkennt, die von einem Google-Konto ausgeführt wird, schreibt der Dienst für sensible Aktionen ein Ergebnis in Security Command Center in der Google Cloud Console und einen Logeintrag in die Logs der Google Cloud Platform.
Ergebnisse des Diensts „Sensitive Actions“ werden als Beobachtungen klassifiziert und können im Security Command Center-Dashboard auf dem Tab Ergebnisse nach Ergebnisklasse oder Ergebnisquelle aufgerufen werden.
Einschränkungen
In den folgenden Abschnitten werden Einschränkungen beschrieben, die für den Dienst für sensible Aktionen gelten.
Kontosupport
Die Erkennung des Diensts für sensible Aktionen ist auf Aktionen beschränkt, die von Nutzerkonten ausgeführt werden.
Verschlüsselung und Einschränkungen des Datenstandorts
Damit vertrauliche Aktionen erkannt werden, muss der Dienst für sensible Aktionen die Audit-Logs zu Administratoraktivitäten Ihrer Organisation analysieren können.
Wenn Ihre Organisation Ihre Logs mithilfe von vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) verschlüsselt, kann der Dienst für sensible Aktionen Ihre Logs nicht lesen und Sie daher auch nicht über vertrauliche Aktionen benachrichtigen.
Vertrauliche Aktionen können nicht erkannt werden, wenn Sie den Speicherort des Log-Buckets für Ihre Audit-Logs zu Administratoraktivitäten so konfiguriert haben, dass er sich nicht an dem Standort global
befindet. Wenn Sie beispielsweise einen Speicherort für den _Required
-Log-Bucket in einem bestimmten Projekt, Ordner oder einer bestimmten Organisation angegeben haben, können Logs aus diesem Projekt, Ordner oder dieser Organisation nicht auf vertrauliche Aktionen gescannt werden.
Ergebnisse des Diensts „Sensitive Actions“
In der folgenden Tabelle sind die Ergebniskategorien aufgeführt, die der Dienst für sensible Aktionen erstellen kann. Der Anzeigename jedes Ergebnisses beginnt mit der MITRE-ATT&CK-Taktik, für die die erkannte Aktion verwendet werden könnte.
Anzeigename | API-Name | Beschreibung |
---|---|---|
Defense Evasion: Organization Policy Changed |
change_organization_policy |
In einer Organisation, die älter als 10 Tage ist, wurde eine Organisationsrichtlinie auf Organisationsebene erstellt, aktualisiert oder gelöscht. Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. |
Defense Evasion: Remove Billing Admin |
remove_billing_admin |
In einer Organisation, die älter als zehn Tage ist, wurde eine IAM-Rolle des Abrechnungsadministrators auf Organisationsebene entfernt. |
Impact: GPU Instance Created |
gpu_instance_created |
Es wurde eine GPU-Instanz erstellt, wobei das erstellende Hauptkonto in letzter Zeit keine GPU-Instanz im selben Projekt erstellt hat. |
Impact: Many Instances Created |
many_instances_created |
Viele Instanzen wurden in einem Projekt vom selben Hauptkonto an einem Tag erstellt. |
Impact: Many Instances Deleted |
many_instances_deleted |
Viele Instanzen wurden in einem Projekt vom selben Hauptkonto an einem Tag gelöscht. |
Persistence: Add Sensitive Role |
add_sensitive_role |
In einer Organisation, die älter als 10 Tage ist, wurde eine vertrauliche oder stark privilegierte IAM-Rolle auf Organisationsebene gewährt. Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. |
Persistence: Project SSH Key Added |
add_ssh_key |
In einem Projekt wurde ein SSH-Schlüssel auf Projektebene für ein Projekt erstellt, das älter als 10 Tage ist. |
Nächste Schritte
Weitere Informationen zur Verwendung des Dienstes „Sensitive Actions“
Weitere Informationen zum Untersuchen und Entwickeln von Reaktionsplänen für Bedrohungen.