En esta página, se proporciona una descripción general del Servicio de acciones sensibles, un servicio integrado de Security Command Center, que detecta cuándo se realizan acciones en tu instancia de Google Cloud organización, carpetas y proyectos que podrían ser perjudiciales para tu negocio si que son tomadas por un agente malicioso.
En la mayoría de los casos, las acciones que detecta el servicio de acciones sensibles no representan amenazas, porque son tomadas por usuarios legítimos con fines legítimos. Sin embargo, el Servicio de acciones sensibles no puede determinar la legitimidad de manera concluyente, por lo que tal vez debas investigar el los hallazgos antes de que pueda estar seguro de que no representan una amenaza.
Cómo funciona el servicio de acciones sensibles
El servicio de acciones sensibles supervisa automáticamente Registros de auditoría de actividad del administrador para realizar acciones sensibles. Los Registros de auditoría de actividad del administrador no será necesario que los habilite ni configure de otra manera.
Cuando el servicio de acciones sensibles detecta una acción sensible que realiza un Cuenta de Google, Servicio de acciones sensibles escribe un hallazgo en Security Command Center en la consola de Google Cloud y una entrada de registro en Google Cloud los registros del sistema.
Los resultados del Servicio de acciones sensibles se clasifican como observaciones y pueden Para verlos, busca la clase o la fuente en la pestaña Hallazgos de la Panel de Security Command Center.
Restricciones
En las siguientes secciones, se describen las restricciones que se aplican al servicio de acciones sensibles.
Asistencia de cuenta
La detección del servicio de acciones sensibles se limita a las acciones que realiza el usuario cuentas de servicio.
Restricciones de encriptación y residencia de datos
Para detectar acciones sensibles, el servicio de acciones sensibles debe poder analizar los registros de auditoría de actividad del administrador de tu organización
Si tu organización encripta tus registros con encriptación administrada por el cliente (CMEK) para encriptar tus registros, el servicio de acciones sensibles no puede leerlos y, por lo tanto, no puede alertarte cuando ocurren acciones sensibles.
No se pueden detectar acciones sensibles si configuraste la ubicación del
de bucket de registros para que tus Registros de auditoría de actividad de administrador estén en otra ubicación
que la ubicación global. Por ejemplo, si especificaste un espacio de
ubicación de _Required
bucket de registros en un determinado proyecto, organización o carpeta,
proyecto, organización o carpeta en busca de acciones sensibles.
Hallazgos del Servicio de acciones sensibles
En la siguiente tabla, se muestran las categorías de hallazgos para las que el servicio de acciones sensibles puede producir. El nombre visible de cada hallazgo comienza con el símbolo MITRE Táctica ATT&CK para el que se podría usar la acción detectada.
| Nombre visible | Nombre de la API | Descripción |
|---|---|---|
Defense Evasion: Organization Policy Changed |
change_organization_policy |
Se creó, actualizó una política de la organización
o borrarse, en una organización con más de 10 días de antigüedad. Este hallazgo no está disponible para activaciones a nivel de proyecto. |
Defense Evasion: Remove Billing Admin |
remove_billing_admin |
En una organización que tiene más de 10 días de antigüedad, se quitó un rol de IAM de administrador de facturación a nivel de la organización. |
Impact: GPU Instance Created |
gpu_instance_created |
Se creó una instancia de GPU, en la que la principal no se creó recientemente creaste una instancia de GPU en el mismo proyecto. |
Impact: Many Instances Created |
many_instances_created |
Muchas instancias fueron creadas por el mismo proyecto principal en un día. |
Impact: Many Instances Deleted |
many_instances_deleted |
La misma dirección borró muchas instancias de un proyecto principal en un día. |
Persistence: Add Sensitive Role |
add_sensitive_role |
Un IAM a nivel de la organización sensible o con muchos privilegios
se otorgó en una organización con más de 10 días de antigüedad. Este hallazgo no está disponible para activaciones a nivel de proyecto. |
Persistence: Project SSH Key Added |
add_ssh_key |
Se creó una clave SSH a nivel de proyecto en un proyecto para un proyecto que tenga más de 10 días de antigüedad. |
¿Qué sigue?
Obtén más información para usar el Servicio de acciones sensibles.
Obtén información a fin de investigar y desarrollar planes de respuesta para las amenazas.