Cette page présente le service Sensitive Actions, un service intégré Security Command Center qui détecte les actions effectuées dans votre Google Cloud organisation, dossiers et projets susceptibles de nuire à votre entreprise si ils sont pris par un acteur malveillant.
Dans la plupart des cas, les actions détectées par le service Sensitive Actions ne représentent pas des menaces, car elles sont prises par des utilisateurs légitimes à des fins légitimes. Toutefois, le service Actions sensibles ne peut pas de manière concluante. Vous devrez peut-être étudier les résultats avant de pouvoir être sûr qu’ils ne représentent pas une menace.
Fonctionnement du service Actions sensibles
Le service des actions sensibles surveille automatiquement l'ensemble Journaux d'audit pour les activités d'administration en cas d'actions sensibles. Les journaux d'audit des activités d'administration étant toujours activés, pas besoin de les activer ni de les configurer.
Lorsque Sensitive Actions Service détecte une action sensible effectuée par un compte Google, Service Sensitive Actions écrit un résultat dans Security Command Center dans la console Google Cloud et une entrée de journal pour Google Cloud Platform journaux.
Les résultats du service Actions sensibles sont classés comme des observations et peuvent être en recherchant un cours ou une source dans l'onglet Résultats Tableau de bord Security Command Center
Restrictions
Les sections suivantes décrivent les restrictions qui s'appliquent au service Sensitive Actions.
Assistance liée au compte
La détection du service des actions sensibles est limitée aux actions effectuées par l'utilisateur Google Cloud.
Restrictions de chiffrement et de résidence des données
Pour détecter les actions sensibles, le service Sensitive Actions doit pouvoir analyser les journaux d'audit des activités d'administration de votre organisation.
Si votre organisation chiffre vos journaux à l'aide du chiffrement géré par le client clés (CMEK) pour chiffrer vos journaux, le service Sensitive Actions ne peut pas les lire et, par conséquent, ne peuvent pas vous alerter en cas d'actions sensibles.
Les actions sensibles ne peuvent pas être détectées si vous avez configuré l'emplacement de
bucket de journaux pour que vos journaux d'audit pour les activités d'administration se trouvent dans un autre emplacement
que l'emplacement global
. Par exemple, si vous avez spécifié un espace de stockage
position pour l'élément _Required
un bucket de journaux d'un projet, d'un dossier ou d'une organisation spécifique,
Le projet, le dossier ou l'organisation ne peuvent pas être analysés pour détecter des actions sensibles.
Résultats du service Sensitive Actions
Le tableau suivant présente les catégories de résultats pour lesquelles le service Sensitive Actions peut produire. Le nom à afficher de chaque résultat commence par la chaîne MITRE Stratégie ATT&CK pour lesquelles l'action détectée pourrait être utilisée.
Nom à afficher | Nom de l'API | Description |
---|---|---|
Defense Evasion: Organization Policy Changed |
change_organization_policy |
Une règle d'administration au niveau de l'organisation
a été créée, mise à jour
ou supprimés, dans une organisation
depuis plus de 10 jours. Ce résultat n'est pas disponible pour les activations au niveau du projet. |
Defense Evasion: Remove Billing Admin |
remove_billing_admin |
Un rôle IAM d'administrateur de la facturation au niveau de l'organisation a été supprimé dans une organisation datant de plus de 10 jours. |
Impact: GPU Instance Created |
gpu_instance_created |
Une instance GPU a été créée, mais le compte principal à l'origine de la création n'a pas a récemment créé une instance GPU dans le même projet. |
Impact: Many Instances Created |
many_instances_created |
De nombreuses instances d'un projet ont été créées par principal en une journée. |
Impact: Many Instances Deleted |
many_instances_deleted |
De nombreuses instances d'un projet ont été supprimées principal en une journée. |
Persistence: Add Sensitive Role |
add_sensitive_role |
IAM sensible ou à privilèges élevés au niveau de l'organisation
a été attribué dans une organisation datant de plus de 10 jours. Ce résultat n'est pas disponible pour les activations au niveau du projet. |
Persistence: Project SSH Key Added |
add_ssh_key |
Une clé SSH au niveau du projet a été créée dans un projet, pour un projet datant de plus de 10 jours. |
Étape suivante
Découvrez comment utiliser le service Sensitive Actions.
Découvrez comment examiner et développer des plans d'intervention sur les menaces.