Diese Seite bietet einen Überblick über den Sensitive Actions Service, einen integrierten Dienst von Security Command Center, das erkennt, wenn Aktionen in Ihrer Google Cloud ausgeführt werden Organisation, Ordnern und Projekten, die Ihrem Unternehmen schaden könnten, von böswilligen Akteuren ergriffen werden.
In den meisten Fällen werden die vom Sensitive Actions Service erkannten Aktionen stellen keine Bedrohungen dar, da sie von legitimen Nutzern eingenommen werden legitim. Der Dienst für sensible Aktionen darf jedoch um die Legitimität eindeutig zu bestimmen. Unter Umständen müssen Sie bevor Sie sicher sein können, dass sie keine Bedrohung darstellen.
So funktioniert der Dienst für sensible Aktionen
Der Dienst für sensible Aktionen überwacht automatisch alle Audit-Logs zur Administratoraktivität für sensible Aktionen aus. Audit-Logs zur Administratoraktivität sind immer aktiviert. Sie müssen sie nicht aktivieren oder anderweitig konfigurieren.
Wenn der Dienst für sensible Aktionen eine vertrauliche Aktion erkennt, die von einem Google-Konto Dienst für sensible Aktionen Schreibt ein Ergebnis in Security Command Center in der Google Cloud Console und einen Logeintrag für die Google Cloud Platform Logs
Die Ergebnisse des Diensts „Sensitive Actions“ werden als Beobachtungen eingestuft und können die über einen Ergebnisklasse oder eine Ergebnisquelle auf dem Tab Ergebnisse im Security Command Center-Dashboard.
Einschränkungen
In den folgenden Abschnitten werden Einschränkungen beschrieben, die für den Dienst für sensible Aktionen gelten.
Kontosupport
Die Erkennung des Diensts „Sensitive Actions“ ist auf Nutzeraktionen beschränkt Konten.
Verschlüsselung und Einschränkungen des Datenstandorts
Der Dienst für sensible Aktionen muss in der Lage sein, die Analyse vertraulicher Aktionen zu erkennen. die Audit-Logs zur Administratoraktivität Ihrer Organisation.
Wenn Ihre Organisation Ihre Logs mit vom Kunden verwalteter Verschlüsselung verschlüsselt Schlüssel (CMEK) zum Verschlüsseln Ihrer Logs, kann der Dienst für sensible Aktionen Ihre Logs nicht lesen und können Sie daher auch nicht bei sensiblen Aktionen benachrichtigen.
Vertrauliche Aktionen können nicht erkannt werden, wenn Sie den Standort der
Log-Bucket, damit sich Ihre Audit-Logs zur Administratoraktivität an einem anderen Ort befinden
als der Standort global
. Wenn Sie beispielsweise einen Speicher
Standort für _Required
in einem bestimmten Projekt, Ordner oder einer Organisation,
Projekt, Ordner oder Organisation kann nicht auf vertrauliche Aktionen geprüft werden.
Ergebnisse des Diensts „Sensitive Actions“
In der folgenden Tabelle sind die Ergebniskategorien aufgeführt, die der Dienst „Sensitive Actions“ die wir produzieren können. Der Anzeigename für jedes Ergebnis beginnt mit MITRE ATT&CK-Taktik für die die erkannte Aktion verwendet werden kann.
Anzeigename | API-Name | Beschreibung |
---|---|---|
Defense Evasion: Organization Policy Changed |
change_organization_policy |
Eine Organisationsrichtlinie auf Organisationsebene wurde erstellt, aktualisiert
in einer Organisation, die älter als 10 Tage ist, gelöscht oder gelöscht wurden. Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. |
Defense Evasion: Remove Billing Admin |
remove_billing_admin |
In einer Organisation, die älter als zehn Tage ist, wurde eine IAM-Rolle des Abrechnungsadministrators auf Organisationsebene entfernt. |
Impact: GPU Instance Created |
gpu_instance_created |
Es wurde eine GPU-Instanz erstellt, in der das erstellende Hauptkonto nicht Sie haben kürzlich eine GPU-Instanz im selben Projekt erstellt. |
Impact: Many Instances Created |
many_instances_created |
Viele Instanzen wurden in einem Projekt vom selben für das Hauptkonto an einem Tag. |
Impact: Many Instances Deleted |
many_instances_deleted |
Viele Instanzen wurden in einem Projekt vom selben für das Hauptkonto an einem Tag. |
Persistence: Add Sensitive Role |
add_sensitive_role |
Sensible oder stark privilegierte IAM-Berechtigungen auf Organisationsebene
Rolle wurde in einer Organisation gewährt, die älter als 10 Tage ist. Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. |
Persistence: Project SSH Key Added |
add_ssh_key |
In einem Projekt wurde ein SSH-Schlüssel auf Projektebene für ein Projekt erstellt die älter als 10 Tage sind. |
Nächste Schritte
Weitere Informationen zur Verwendung des Dienstes „Sensitive Actions“
Weitere Informationen zum Untersuchen und Entwickeln von Reaktionsplänen für Bedrohungen.