Diese Seite bietet einen Überblick über den Dienst für sensible Aktionen, einen integrierten Dienst von Security Command Center, der erkennt, wenn Aktionen in Ihrer Google Cloud-Organisation, in Ihren Ordnern und in Ihren Projekten ausgeführt werden, die Ihrem Unternehmen schaden könnten, wenn sie von einem böswilligen Akteur ausgeführt werden.
In den meisten Fällen stellen die vom Dienst für vertraulichen Aktionen erkannten Aktionen keine Bedrohungen dar, da sie von legitimen Nutzern für legitime Zwecke ausgeführt werden. Der Dienst für sensible Aktionen kann jedoch die Legitimität nicht schlüssig bestimmen. Daher müssen Sie die Ergebnisse möglicherweise genauer untersuchen, bevor Sie sicher sein können, dass sie keine Bedrohung darstellen.
Funktionsweise des Diensts für sensible Aktionen
Der Dienst für sensible Aktionen überwacht automatisch alle Audit-Logs zur Administratoraktivität Ihrer Organisation auf vertrauliche Aktionen. Audit-Logs zur Administratoraktivität sind immer aktiviert, sodass Sie sie nicht aktivieren oder konfigurieren müssen.
Wenn der Dienst für sensible Aktionen eine vertrauliche Aktion erkennt, die von einem Google-Konto ausgeführt wird, schreibt der Dienst für sensible Aktionen ein Ergebnis in Security Command Center in der Google Cloud Console und einen Logeintrag in die Logs der Google Cloud Platform.
Die Ergebnisse des Diensts für sensible Aktionen werden als Beobachtungen klassifiziert und können durch Ergebnisklasse oder Ergebnisquelle auf dem Tab Ergebnisse im Security Command Center-Dashboard aufgerufen werden.
Einschränkungen
In den folgenden Abschnitten werden Einschränkungen für den Dienst für sensible Aktionen beschrieben.
Kontosupport
Die Erkennung des Dienstes für sensible Aktionen ist auf Aktionen von Nutzerkonten beschränkt.
Einschränkungen für Verschlüsselung und Datenstandort
Damit vertrauliche Aktionen erkannt werden können, muss der Dienst für sensible Aktionen in der Lage sein, die Audit-Logs zur Administratoraktivität Ihrer Organisation zu analysieren.
Wenn Ihre Organisation Ihre Logs mithilfe von vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) verschlüsselt, kann der Dienst für sensible Aktionen Ihre Logs nicht lesen und Sie daher nicht benachrichtigen, wenn vertrauliche Aktionen auftreten.
Vertrauliche Aktionen können nicht erkannt werden, wenn Sie als Speicherort des Log-Buckets für Ihre Audit-Logs zur Administratoraktivität einen anderen Speicherort als global festgelegt haben. Wenn Sie beispielsweise für den Log-Bucket _Required in einem bestimmten Projekt, Ordner oder einer bestimmten Organisation einen Speicherort angegeben haben, können Logs aus diesem Projekt, Ordner oder dieser Organisation nicht auf vertrauliche Aktionen gescannt werden.
Ergebnisse des Diensts für sensible Aktionen
Die folgende Tabelle zeigt die Ergebniskategorien, die der Dienst für sensible Aktionen erstellen kann. Der Anzeigename für jedes Ergebnis beginnt mit der MITRE ATT&CK-Taktik, für die die erkannte Aktion verwendet werden könnte.
| Anzeigename | API-Name | Beschreibung |
|---|---|---|
Defense Evasion: Organization Policy Changed |
change_organization_policy |
Eine Organisationsrichtlinie auf Organisationsebene wurde in einer Organisation, die mehr als 10 Tage alt ist, erstellt, aktualisiert oder gelöscht. Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. |
Defense Evasion: Remove Billing Admin |
remove_billing_admin |
In einer Organisation, die älter als 10 Tage ist, wurde die IAM-Rolle eines Abrechnungsadministrators auf Organisationsebene entfernt. |
Impact: GPU Instance Created |
gpu_instance_created |
Eine GPU-Instanz wurde erstellt, wobei das erstellende Hauptkonto in letzter Zeit keine GPU-Instanz im selben Projekt erstellt hat. |
Impact: Many Instances Created |
many_instances_created |
Viele Instanzen wurden in einem Projekt vom selben Hauptkonto an einem Tag erstellt. |
Impact: Many Instances Deleted |
many_instances_deleted |
Viele Instanzen in einem Projekt wurden an einem Tag vom selben Hauptkonto gelöscht. |
Persistence: Add Sensitive Role |
add_sensitive_role |
In einer Organisation, die älter als 10 Tage ist, wurde eine vertrauliche oder umfassende IAM-Rolle auf Organisationsebene gewährt. Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. |
Persistence: Project SSH Key Added |
add_ssh_key |
In einem Projekt, das älter als 10 Tage ist, wurde ein SSH-Schlüssel auf Projektebene erstellt. |
Nächste Schritte
Weitere Informationen zur Verwendung des Dienstes für vertrauliche Aktionen
Weitere Informationen zum Untersuchen und Entwickeln von Reaktionsplänen für Bedrohungen.