En esta página, se proporciona una descripción general del servicio de acciones sensibles, un servicio integrado de Security Command Center que detecta cuándo se realizan acciones en tu organización, carpetas y proyectos de Google Cloud que podrían dañar tu empresa si las realiza un agente malicioso.
En la mayoría de los casos, las acciones que detecta el servicio de acciones sensibles no representan amenazas, ya que las realizan usuarios legítimos con fines legítimos. Sin embargo, el Servicio de acciones sensibles no puede determinar de manera concluyente la legitimidad, por lo que es posible que debas investigar los hallazgos antes de asegurarte de que no representan una amenaza.
Cómo funciona el servicio de acciones sensibles
El servicio de acciones sensibles supervisa de forma automática todos los registros de auditoría de actividad del administrador de tu organización en busca de acciones sensibles. Los registros de auditoría de actividad del administrador siempre están activados, por lo que no necesitas habilitarlos ni configurarlos.
Cuando el servicio de acciones sensibles detecta una acción sensible que se realiza con una Cuenta de Google, escribe un hallazgo en Security Command Center en la consola de Google Cloud y una entrada de registro en los registros de Google Cloud Platform.
Los resultados del Servicio de acciones sensibles se clasifican como observaciones y se pueden ver si buscas la clase o la fuente en la pestaña Hallazgos del panel de Security Command Center.
Restricciones
En las siguientes secciones, se describen las restricciones que se aplican al servicio de acciones sensibles.
Asistencia de cuenta
La detección del Servicio de acciones sensibles se limita a las acciones que realizan las cuentas de usuario.
Restricciones de encriptación y residencia de datos
Para detectar acciones sensibles, el servicio de acciones sensibles debe poder analizar los registros de auditoría de actividad del administrador de tu organización.
Si tu organización encripta tus registros con claves de encriptación administradas por el cliente (CMEK) para encriptar tus registros, el servicio de acciones sensibles no podrá leer tus registros y, por lo tanto, no podrá alertarte cuando se produzcan acciones sensibles.
No se pueden detectar acciones sensibles si configuraste la ubicación del bucket de registros para que tus registros de auditoría de actividad de administrador se encuentren en una ubicación distinta de global. Por ejemplo, si especificaste una ubicación de almacenamiento para el bucket de registros _Required en un proyecto, organización o carpeta en particular, los registros de ese proyecto, organización o carpeta no se podrán analizar en busca de acciones sensibles.
Hallazgos del Servicio de acciones sensibles
En la siguiente tabla, se muestran las categorías de resultados que puede producir el servicio de acciones sensibles. El nombre visible de cada hallazgo comienza con la táctica de MITRE ATT&CK para la que se podría usar la acción detectada.
| Nombre visible | Nombre de la API | Descripción |
|---|---|---|
Defense Evasion: Organization Policy Changed |
change_organization_policy |
Se creó, actualizó o borró una política de la organización a nivel de la organización en una organización que tiene más de 10 días de antigüedad. Este hallazgo no está disponible para activaciones a nivel de proyecto. |
Defense Evasion: Remove Billing Admin |
remove_billing_admin |
En una organización que tiene más de 10 días de antigüedad, se quitó un rol de IAM de administrador de facturación a nivel de la organización. |
Impact: GPU Instance Created |
gpu_instance_created |
Se creó una instancia de GPU, pero la principal no creó una instancia de GPU en el mismo proyecto recientemente. |
Impact: Many Instances Created |
many_instances_created |
La misma principal creó muchas instancias en un proyecto en un día. |
Impact: Many Instances Deleted |
many_instances_deleted |
La misma principal borró muchas instancias de un proyecto en un día. |
Persistence: Add Sensitive Role |
add_sensitive_role |
Se otorgó un rol de IAM sensible o con muchos privilegios a nivel de la organización
en una organización que tiene más de 10 días de antigüedad. Este hallazgo no está disponible para activaciones a nivel de proyecto. |
Persistence: Project SSH Key Added |
add_ssh_key |
Se creó una clave SSH a nivel de proyecto en un proyecto que tiene más de 10 días de antigüedad. |
¿Qué sigue?
Obtén más información para usar el Servicio de acciones sensibles.
Obtén información a fin de investigar y desarrollar planes de respuesta para las amenazas.