Questa pagina fornisce una panoramica del servizio azioni sensibili, un servizio integrato di Security Command Center che rileva quando vengono intraprese azioni nell'organizzazione, nelle cartelle e nei progetti Google Cloud che potrebbero danneggiare la tua attività se vengono intraprese da un utente malintenzionato.
Nella maggior parte dei casi, le azioni rilevate dal servizio per le azioni sensibili non rappresentano minacce perché sono intraprese da utenti legittimi per scopi legittimi. Tuttavia, il servizio Azioni sensibili non è in grado di determinare in modo definitivo la legittimità, quindi potresti dover esaminare i risultati prima di avere la certezza che non rappresentino una minaccia.
Come funziona il servizio Azioni sensibili
Il servizio Azioni sensibili monitora automaticamente tutti gli audit log delle attività di amministrazione della tua organizzazione per rilevare eventuali azioni sensibili. Gli audit log delle attività di amministrazione sono sempre attivi, quindi non è necessario abilitarli o configurarli in altro modo.
Quando Sensitive Actions Service rileva un'azione sensibile compiuta da un Account Google, Sensitive Actions Service scrive un risultato in Security Command Center nella console Google Cloud e una voce di log nei log della piattaforma Google Cloud.
I risultati di Sensitive Actions Service sono classificati come osservazioni e possono essere visualizzati individuando la classe o individuando l'origine nella scheda Risultati della dashboard di Security Command Center.
Limitazioni
Le seguenti sezioni descrivono le limitazioni che si applicano al servizio Azioni sensibili.
Assistenza per l'account
Il rilevamento del servizio per le azioni sensibili è limitato alle azioni intraprese dagli account utente.
Limitazioni relative alla crittografia e alla residenza dei dati
Per rilevare le azioni sensibili, il servizio azioni sensibili deve essere in grado di analizzare gli audit log delle attività di amministrazione della tua organizzazione.
Se la tua organizzazione cripta i log utilizzando chiavi di crittografia gestite dal cliente (CMEK) per crittografare i log, Sensitive Actions Service non può leggere i log e, di conseguenza, non può avvisarti quando si verificano azioni sensibili.
Le azioni sensibili non possono essere rilevate se hai configurato la località del bucket di log per gli audit log dell'attività di amministrazione in una località diversa da global. Ad esempio, se hai specificato una località di archiviazione per il bucket di log _Required in un determinato progetto, cartella o organizzazione, i log di quel progetto, cartella o organizzazione non possono essere analizzati per rilevare azioni sensibili.
Risultati del servizio delle azioni sensibili
La seguente tabella mostra le categorie di risultati che il servizio azioni sensibili può produrre. Il nome visualizzato di ogni risultato inizia con la tattica MITRE ATT&CK per cui potrebbe essere utilizzata l'azione rilevata.
| Nome visualizzato | Nome API | Descrizione |
|---|---|---|
Defense Evasion: Organization Policy Changed |
change_organization_policy |
Un criterio dell'organizzazione a livello di organizzazione è stato creato, aggiornato o eliminato in un'organizzazione da più di 10 giorni. Questo risultato non è disponibile per le attivazioni a livello di progetto. |
Defense Evasion: Remove Billing Admin |
remove_billing_admin |
È stato rimosso un ruolo IAM di amministratore della fatturazione a livello di organizzazione per un'organizzazione risalente a più di 10 giorni fa. |
Impact: GPU Instance Created |
gpu_instance_created |
È stata creata un'istanza GPU in cui l'entità di creazione non ha creato di recente un'istanza GPU nello stesso progetto. |
Impact: Many Instances Created |
many_instances_created |
Molte istanze sono state create in un progetto dalla stessa entità in un giorno. |
Impact: Many Instances Deleted |
many_instances_deleted |
Molte istanze sono state eliminate in un progetto dalla stessa entità in un giorno. |
Persistence: Add Sensitive Role |
add_sensitive_role |
È stato concesso un ruolo IAM sensibile o con privilegi elevati a livello di organizzazione in un'organizzazione risalente a più di 10 giorni fa. Questo risultato non è disponibile per le attivazioni a livello di progetto. |
Persistence: Project SSH Key Added |
add_ssh_key |
In un progetto, per un progetto che risale a più di 10 giorni fa, è stata creata una chiave SSH a livello di progetto. |
Passaggi successivi
Scopri di più sull'utilizzo del servizio per le azioni sensibili.
Scopri come indagare e sviluppare piani di risposta alle minacce.