本页面简要介绍了敏感操作服务,这是一项 Security Command Center,用于检测何时在 Google Cloud 中执行操作 组织、文件夹和项目, 它们会被恶意操作者获取。
在大多数情况下,Sensitive Actions Service 检测到的操作不代表威胁,因为这些操作是由合法用户出于合法目的而执行的。但是,Sensitive Actions Service 无法最终确定合法性,因此您可能需要调查发现结果,然后才能确定它们不代表威胁。
Sensitive Actions Service 工作原理
敏感操作服务会自动监控贵组织的所有 管理员活动审核日志 敏感操作管理员活动审核日志始终处于启用状态,因此您无需启用或以其他方式进行配置。
敏感操作服务检测到由 Google 账号执行的敏感操作时,会将发现结果写入 Google Cloud 控制台中的 Security Command Center 并将一项日志条目写入 Google Cloud Platform 日志。
敏感操作服务发现结果归类为观察,并且可以在 Security Command Center 信息中心的发现结果标签页上通过查找类别或来源进行查看。
限制
以下部分介绍了敏感操作服务所适用的限制。
账号支持
敏感操作服务检测仅针对用户账号执行的操作进行。
加密和数据驻留限制
为了检测敏感操作,敏感操作服务必须能够分析 贵组织的管理员活动审核日志。
如果贵组织使用客户管理的加密方式来加密您的日志 密钥 (CMEK) 来加密日志,Sensitive Actions Service 将无法读取您的日志 因此无法在发生敏感操作时提醒您。
如果您配置了
日志存储桶,确保管理员活动审核日志位于其他位置
高于 global 位置。例如,如果您已指定了要存储的
地点:_Required
特定项目、文件夹或组织中的日志存储桶,
无法扫描项目、文件夹或组织是否存在敏感操作。
“Sensitive Actions Service”发现结果
下表显示了敏感操作服务提供的发现结果类别 可以生成什么内容每个发现结果的显示名都以 MITRE 开头 ATT&CK 策略 可能被检测到的操作用于哪些用途。
| 显示名称 | API 名称 | 说明 |
|---|---|---|
Defense Evasion: Organization Policy Changed |
change_organization_policy |
组织级层的组织政策是在超过 10 天前的组织中创建、更新或删除的。 此发现结果不适用于项目级层激活。 |
Defense Evasion: Remove Billing Admin |
remove_billing_admin |
移除了超过 10 天前的组织中的组织级层结算管理员 IAM 角色。 |
Impact: GPU Instance Created |
gpu_instance_created |
创建了一个 GPU 实例,但创建主账号尚未创建 最近在同一个项目中创建了一个 GPU 实例。 |
Impact: Many Instances Created |
many_instances_created |
同一个项目在一个项目中创建了 主账号。 |
Impact: Many Instances Deleted |
many_instances_deleted |
同一项目在一个项目中删除了 主账号。 |
Persistence: Add Sensitive Role |
add_sensitive_role |
已在超过 10 天前的组织中授予敏感或高度特权的组织级层 IAM 角色。 此发现结果不适用于项目级层激活。 |
Persistence: Project SSH Key Added |
add_ssh_key |
项目级 SSH 密钥已在超过 10 天前的项目中创建。 |
后续步骤
了解如何使用敏感操作服务。
了解如何调查和制定威胁响应方案。