Halaman ini menyediakan ringkasan Layanan Tindakan Sensitif, layanan bawaan dari tingkat Security Command Center Premium yang mendeteksi saat tindakan diambil di organisasi, folder, dan project Google Cloud yang dapat merusak bisnis Anda jika diambil oleh pelaku kejahatan.
Pada umumnya, tindakan yang terdeteksi oleh Layanan Tindakan Sensitif tidak merepresentasikan ancaman, karena dilakukan oleh pengguna yang sah untuk tujuan yang sah. Namun, Layanan Tindakan Sensitif tidak dapat menentukan legitimasi secara meyakinkan, jadi Anda mungkin perlu menyelidiki temuan tersebut sebelum dapat memastikan bahwa temuan tersebut tidak mewakili ancaman.
Cara kerja Layanan Tindakan Sensitif
Layanan Tindakan Sensitif otomatis memantau semua log audit Aktivitas Admin organisasi Anda untuk menemukan tindakan sensitif. Log audit Aktivitas Admin selalu aktif, sehingga Anda tidak perlu mengaktifkan atau mengonfigurasinya.
Saat Sensitive Actions Service mendeteksi tindakan sensitif yang dilakukan oleh Akun Google, Sensitive Actions Service akan menulis temuan ke Security Command Center di Konsol Google Cloud dan entri log ke log platform Google Cloud.
Temuan Layanan Tindakan sensitif diklasifikasikan sebagai pengamatan dan dapat dilihat dengan menemukan class atau menemukan sumber di tab Temuan pada dasbor Security Command Center.
Pembatasan
Bagian berikut menjelaskan pembatasan yang berlaku untuk Layanan Tindakan Sensitif.
Dukungan akun
Deteksi Layanan Tindakan Sensitif dibatasi pada tindakan yang diambil oleh akun pengguna.
Dukungan Assured Workloads
Layanan Action Sensitif tidak dapat mendeteksi tindakan sensitif di lingkungan yang diamankan oleh Assured Workloads.
Pembatasan residensi data dan enkripsi
Untuk mendeteksi tindakan sensitif, Layanan Tindakan Sensitif harus dapat menganalisis log audit Aktivitas Admin organisasi Anda.
Jika organisasi Anda mengenkripsi log menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) untuk mengenkripsi log, Layanan Tindakan Sensitif tidak dapat membaca log dan, akibatnya, tidak dapat memberi tahu Anda saat tindakan sensitif terjadi.
Temuan Layanan Tindakan Sensitif
Tabel berikut menunjukkan kategori temuan yang dapat dihasilkan Layanan Tindakan Sensitif. Nama tampilan untuk setiap temuan dimulai dengan taktik MITRE ATT&CK yang dapat digunakan untuk tindakan yang terdeteksi.
| Nama tampilan | Nama API | Deskripsi |
|---|---|---|
Defense Evasion: Organization Policy Changed |
change_organization_policy |
Kebijakan organisasi tingkat organisasi telah dibuat, diperbarui, atau dihapus, di organisasi yang sudah lebih dari 10 hari. Temuan ini tidak tersedia untuk aktivasi level project. |
Defense Evasion: Remove Billing Admin |
remove_billing_admin |
Peran IAM administrator penagihan tingkat organisasi telah dihapus di organisasi yang berusia lebih dari 10 hari. |
Impact: GPU Instance Created |
gpu_instance_created |
Instance GPU dibuat, dengan akun utama yang membuat belum membuat instance GPU dalam project yang sama baru-baru ini. |
Impact: Many Instances Created |
many_instances_created |
Banyak instance dibuat dalam sebuah project oleh akun utama yang sama dalam satu hari. |
Impact: Many Instances Deleted |
many_instances_deleted |
Banyak instance dihapus dalam sebuah project oleh akun utama yang sama dalam satu hari. |
Persistence: Add Sensitive Role |
add_sensitive_role |
Peran IAM tingkat organisasi yang sensitif atau memiliki hak istimewa tinggi diberikan dalam organisasi yang berusia lebih dari 10 hari. Temuan ini tidak tersedia untuk aktivasi level project. |
Persistence: Project SSH Key Added |
add_ssh_key |
Kunci SSH level project dibuat dalam sebuah project, untuk project yang berusia lebih dari 10 hari. |
Langkah selanjutnya
Pelajari cara menggunakan Layanan Tindakan Sensitif.
Pelajari cara menyelidiki dan mengembangkan rencana respons terhadap ancaman.