Visão geral do Serviço de ações sensíveis

Nesta página, você encontra uma visão geral do Serviço de ações sensíveis, um serviço integrado do Security Command Center que detecta quando ações realizadas na organização, pastas e projetos do Google Cloud podem ser prejudiciais à sua empresa se forem feitas por uma pessoa mal-intencionada.

Na maioria dos casos, as ações detectadas pelo Serviço de ações sensíveis não representam ameaças, porque são realizadas por usuários legítimos para fins legítimos. No entanto, o Serviço de ações sensíveis não pode determinar a legitimidade de forma conclusiva. Portanto, talvez seja necessário investigar as descobertas antes de ter certeza de que elas não representam uma ameaça.

Como o Serviço de ações sensíveis funciona

O Serviço de ações sensíveis monitora automaticamente todos os registros de auditoria de atividade do administrador da sua organização para identificar ações sensíveis. Os registros de auditoria de atividades do administrador estão sempre ativados. Portanto, não é necessário ativá-los ou configurá-los.

Quando o Serviço de ações sensíveis detecta uma ação realizada por uma Conta do Google, ele grava uma descoberta no Security Command Center no console do Google Cloud e uma entrada de registro dos registros do Google Cloud Platform.

As descobertas do Serviço de ações sensíveis são classificadas como observações e podem ser visualizadas pela descoberta de classe ou descoberta de origem na guia Descobertas no console do Security Command Center.

Restrições

As seções a seguir descrevem as restrições que se aplicam ao serviço de ações sensíveis.

Suporte da conta

A detecção do Serviço de ações sensíveis está limitada às ações realizadas pelas contas de usuário.

Restrições de criptografia e residência de dados

Para detectar ações sensíveis, o Serviço de ações sensíveis precisa analisar os registros de auditoria de atividade do administrador da sua organização.

Se a organização criptografa seus registros usando chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês), o Serviço de ações sensíveis não pode ler os registros e, consequentemente, não pode enviar alertas quando ações sensíveis ocorrem.

Não é possível detectar ações sensíveis se você tiver configurado o local do bucket de registros para que os registros de auditoria de atividade do administrador estejam em um local diferente do global. Por exemplo, se você especificar um local de armazenamento para o bucket de registros _Required em um determinado projeto, pasta ou organização, os registros desse projeto, pasta ou organização não poderão ser verificados quanto a ações sensíveis.

Descobertas do Serviço de ações sensíveis

A tabela a seguir mostra as categorias de descoberta que o Serviço de ações sensíveis pode produzir. O nome de exibição de cada descoberta começa com a tática ATT&CK do MITRE para a qual a ação detectada pode ser usada.

Nome de exibição Nome da API Descrição
Defense Evasion: Organization Policy Changed change_organization_policy

Uma política da organização no nível da organização foi criada, atualizada ou excluída, em uma organização com mais de 10 dias.

Essa descoberta não está disponível para ativações no nível do projeto.

Defense Evasion: Remove Billing Admin remove_billing_admin Um papel do IAM de administrador de faturamento no nível da organização foi removido em uma organização com mais de 10 dias.
Impact: GPU Instance Created gpu_instance_created Uma instância de GPU foi criada, em que o principal de criação não criou uma instância de GPU no mesmo projeto recentemente.
Impact: Many Instances Created many_instances_created Muitas instâncias foram criadas em um projeto pelo mesmo principal em um dia.
Impact: Many Instances Deleted many_instances_deleted Muitas instâncias foram excluídas em um projeto pelo mesmo principal em um dia.
Persistence: Add Sensitive Role add_sensitive_role

Um papel do IAM sensível ou altamente privilegiado no nível da organização foi concedido em uma organização com mais de 10 dias.

Essa descoberta não está disponível para ativações no nível do projeto.

Persistence: Project SSH Key Added add_ssh_key Uma chave SSH no nível do projeto foi criada em um projeto com mais de 10 dias.

A seguir