민감한 작업 서비스 개요

이 페이지에서는 민감한 작업 서비스에 대한 개요를 제공합니다. 이 서비스는 악의적인 행위자가 수행할 경우 비즈니스 손상을 일으킬 수 있는 작업이 Google Cloud 조직, 폴더, 프로젝트에서 수행될 때 이를 감지하는 Security Command Center 프리미엄 등급의 기본 제공 서비스입니다.

대부분의 경우 민감한 작업 서비스에서 감지되는 작업은 합법적인 목적으로 합법적인 사용자가 수행하기 때문에 위협이 되지 않습니다. 그러나 민감한 작업 서비스가 최종적으로 합법성을 결정할 수는 없으므로 위협이 되지 않는다고 판단하기 전까지 발견 항목에 대한 조사가 필요할 수 있습니다.

민감한 작업 서비스의 작동 방법

민감한 작업 서비스는 조직의 모든 관리자 활동 감사 로그에서 민감한 작업을 자동으로 모니터링합니다. 관리자 활동 감사 로그는 항상 켜져 있으므로 이를 사용 설정하거나 특별히 구성할 필요가 없습니다.

민감한 작업 서비스에서 Google 계정으로 수행되는 민감한 작업이 감지되면 민감한 작업 서비스가 Google Cloud 콘솔에서 Security Command Center에 발견 항목을 기록하고 Google Cloud 플랫폼 로그에 로그 항목을 기록합니다.

민감한 작업 서비스 발견 항목은 관찰 항목으로 분류되고 Security Command Center 대시보드발견 항목 탭에서 클래스 또는 소스를 찾아서 확인할 수 있습니다.

제한사항

다음 섹션에서는 민감한 작업 서비스에 적용되는 제한사항을 설명합니다.

계정 지원

민감한 작업 서비스 감지는 사용자 계정으로 수행되는 작업으로 제한됩니다.

Assured Workloads Support

민감한 작업 서비스는 Assured Workloads로 보호되는 환경에서 민감한 작업을 감지할 수 없습니다.

암호화 및 데이터 상주 제한사항

민감한 작업을 감지하려면 민감한 작업 서비스가 조직의 관리자 활동 감사 로그를 분석할 수 있어야 합니다.

로그 암호화를 위해 조직에서 고객 관리 암호화 키(CMEK)를 사용하여 로그를 암호화할 경우 민감한 작업 서비스가 로그를 읽을 수 없고, 따라서 민감한 작업이 발생할 때 이를 알릴 수 없습니다.

민감한 작업 서비스 발견 항목

다음 표에서는 민감한 작업 서비스가 생성할 수 있는 발견 항목 범주를 보여줍니다. 각 발견 항목의 표시 이름은 감지된 작업을 사용할 수 있는 MITRE ATT&CK 전술로 시작합니다.

표시 이름 API 이름 설명
Defense Evasion: Organization Policy Changed change_organization_policy 10일을 초과하는 조직 수준의 조직 정책이 조직에서 생성, 업데이트, 삭제되었습니다.

프로젝트 수준의 활성화에는 이 발견 항목을 사용할 수 없습니다.

Defense Evasion: Remove Billing Admin remove_billing_admin 10일을 초과하는 조직 수준의 결제 관리자 IAM 역할이 조직에서 삭제되었습니다.
Impact: GPU Instance Created gpu_instance_created GPU 인스턴스가 생성되었지만, 최근 주 구성원 만들기로 동일한 프로젝트에서 GPU 인스턴스가 생성되지 않았습니다.
Impact: Many Instances Created many_instances_created 동일한 주 구성원에 의해 프로젝트에서 많은 인스턴스가 하루에 생성되었습니다.
Impact: Many Instances Deleted many_instances_deleted 동일한 주 구성원에 의해 프로젝트에서 많은 인스턴스가 하루에 삭제되었습니다.
Persistence: Add Sensitive Role add_sensitive_role 10일을 초과하는 민감한 또는 권한이 높은 조직 수준의 IAM 역할이 조직에서 부여되었습니다.

프로젝트 수준의 활성화에는 이 발견 항목을 사용할 수 없습니다.

Persistence: Project SSH Key Added add_ssh_key 10일을 초과하는 프로젝트에 대해 프로젝트 수준의 SSH 키가 프로젝트에 생성되었습니다.

다음 단계