Auf dieser Seite erhalten Sie einen Überblick über den Dienst für sensible Aktionen. Dies ist ein integrierter Dienst von Security Command Center, der erkennt, wenn in Ihrer Google Cloud-Organisation, in Ihren Ordnern und in Ihren Projekten Aktionen ausgeführt werden, die für Ihr Unternehmen schädlich sein könnten, wenn sie von einem böswilligen Akteur ausgeführt werden.
In den meisten Fällen stellen die vom Dienst für vertrauliche Aktionen erkannten Aktionen keine Bedrohung dar, da sie von legitimen Nutzern zu legitimen Zwecken ausgeführt werden. Der Dienst für sensible Aktionen kann jedoch nicht mit Sicherheit feststellen, ob die Aktivitäten legitim sind. Daher müssen Sie die Ergebnisse möglicherweise untersuchen, bevor Sie sicher sein können, dass sie keine Bedrohung darstellen.
So funktioniert der Dienst für sensible Aktionen
Der Sensitive Actions Service überwacht automatisch alle Audit-Logs zur Administratoraktivität Ihrer Organisation auf sensible Aktionen. Audit-Logs zu Administratoraktivitäten sind immer aktiviert, sodass Sie sie nicht aktivieren oder anderweitig konfigurieren müssen.
Wenn der Dienst für sensible Aktionen eine sensible Aktion erkennt, die von einem Google-Konto ausgeführt wird, schreibt er eine Meldung in Security Command Center in der Google Cloud Console und einen Logeintrag in die Google Cloud-Plattformprotokolle.
Die Ergebnisse des Diensts „Sensitive Actions“ werden als Beobachtungen klassifiziert und können die über einen Ergebnisklasse oder eine Ergebnisquelle auf dem Tab Ergebnisse im Security Command Center-Konsole.
Beschränkungen
In den folgenden Abschnitten werden Einschränkungen beschrieben, die für den Dienst für sensible Aktionen gelten.
Kontosupport
Die Erkennung durch den Sensitive Actions Service ist auf Aktionen beschränkt, die über Nutzerkonten ausgeführt werden.
Verschlüsselung und Einschränkungen des Datenstandorts
Der Dienst für sensible Aktionen muss in der Lage sein, die Analyse vertraulicher Aktionen zu erkennen. die Audit-Logs zur Administratoraktivität Ihrer Organisation.
Wenn Ihre Organisation Ihre Protokolle mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) verschlüsselt, kann der Dienst für sensible Aktionen Ihre Protokolle nicht lesen und Sie daher nicht benachrichtigen, wenn sensible Aktionen auftreten.
Vertrauliche Aktionen können nicht erkannt werden, wenn Sie den Standort der
Log-Bucket, damit sich Ihre Audit-Logs zu Administratoraktivitäten an einem anderen Ort befinden
als der Standort global. Wenn Sie beispielsweise einen Speicher
Standort für _Required
in einem bestimmten Projekt, Ordner oder einer Organisation,
Projekt, Ordner oder Organisation kann nicht auf vertrauliche Aktionen geprüft werden.
Ergebnisse des Diensts „Sensitive Actions“
In der folgenden Tabelle sind die Ergebniskategorien aufgeführt, die der Dienst für sensible Aktionen liefern kann. Der Anzeigename für jedes Ergebnis beginnt mit der MITRE ATT&CK-Taktik, für die die erkannte Aktion verwendet werden könnte.
| Anzeigename | API-Name | Beschreibung |
|---|---|---|
Defense Evasion: Organization Policy Changed |
change_organization_policy |
Eine Organisationsrichtlinie auf Organisationsebene wurde erstellt, aktualisiert in einer Organisation, die älter als zehn Tage ist. Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. |
Defense Evasion: Remove Billing Admin |
remove_billing_admin |
In einer Organisation, die älter als zehn Tage ist, wurde eine IAM-Rolle des Abrechnungsadministrators auf Organisationsebene entfernt. |
Impact: GPU Instance Created |
gpu_instance_created |
Es wurde eine GPU-Instanz erstellt, deren Ersteller in letzter Zeit keine GPU-Instanz im selben Projekt erstellt hat. |
Impact: Many Instances Created |
many_instances_created |
Am selben Tag wurden von derselben Hauptperson viele Instanzen in einem Projekt erstellt. |
Impact: Many Instances Deleted |
many_instances_deleted |
Viele Instanzen wurden in einem Projekt am selben Tag von derselben Hauptperson gelöscht. |
Persistence: Add Sensitive Role |
add_sensitive_role |
Sensible oder stark privilegierte IAM-Berechtigungen auf Organisationsebene Rolle wurde in einer Organisation gewährt, die älter als 10 Tage ist. Dieser Hinweis ist nicht für Aktivierungen auf Projektebene verfügbar. |
Persistence: Project SSH Key Added |
add_ssh_key |
In einem Projekt wurde ein SSH-Schlüssel auf Projektebene für ein Projekt erstellt die älter als 10 Tage sind. |
Nächste Schritte
- Weitere Informationen mithilfe des Dienstes „Sensitive Actions“ verfügbar sind.
- Hier erfahren Sie, wie Sie untersuchen und Reaktionspläne entwickeln auf Bedrohungen.