本页面简要介绍了 Sensitive Actions Service,这是 Security Command Center 的内置服务,用于检测何时在您的 Google Cloud 组织、文件夹和项目中执行操作,如果这些操作被恶意操作者执行,可能会对您的业务造成损害。
在大多数情况下,Sensitive Actions Service 检测到的操作不代表威胁,因为这些操作是由合法用户出于合法目的而执行的。但是,Sensitive Actions Service 无法最终确定合法性,因此您可能需要调查发现结果,然后才能确定它们不代表威胁。
Sensitive Actions Service 工作原理
Sensitive Actions Service 会自动监控贵组织的所有管理员活动审核日志,看是否存在敏感操作。管理员活动审核日志始终处于启用状态,因此您无需启用或以其他方式进行配置。
敏感操作服务检测到由 Google 账号执行的敏感操作时,会将发现结果写入 Google Cloud 控制台中的 Security Command Center 并将一项日志条目写入 Google Cloud Platform 日志。
敏感操作服务发现结果归类为观察,并且可以在 Security Command Center 信息中心的发现结果标签页上通过查找类别或来源进行查看。
限制
以下部分介绍了敏感操作服务所适用的限制。
账号支持
敏感操作服务检测仅针对用户账号执行的操作进行。
加密和数据驻留限制
如需检测敏感操作,Sensitive Actions Service 必须能够分析贵组织的管理员活动审核日志。
如果贵组织使用客户管理的加密密钥 (CMEK) 对日志进行加密,则 Sensitive Actions Service 将无法读取您的日志,因此也无法在发生敏感操作时提醒您。
如果您已为管理员活动审核日志将日志存储桶的位置配置为 global 位置以外的位置,则无法检测到敏感操作。例如,如果您为某个项目、文件夹或组织中的 _Required 日志存储桶指定存储位置,则无法扫描来自该项目、文件夹或组织的日志是否存在敏感操作。
“Sensitive Actions Service”发现结果
下表显示了敏感操作服务可以生成的发现结果类别。每个发现结果的显示名都以所检测到的操作可用于的 MITRE ATT&CK 策略开头。
| 显示名称 | API 名称 | 说明 |
|---|---|---|
Defense Evasion: Organization Policy Changed |
change_organization_policy |
组织级层的组织政策是在超过 10 天前的组织中创建、更新或删除的。 此发现结果不适用于项目级层激活。 |
Defense Evasion: Remove Billing Admin |
remove_billing_admin |
移除了超过 10 天前的组织中的组织级层结算管理员 IAM 角色。 |
Impact: GPU Instance Created |
gpu_instance_created |
创建了一个 GPU 实例,但创建的主帐号最近未在同一项目中创建 GPU 实例。 |
Impact: Many Instances Created |
many_instances_created |
同一主帐号一天内在一个项目中创建了许多实例。 |
Impact: Many Instances Deleted |
many_instances_deleted |
同一主帐号在一天内删除了项目中的许多实例。 |
Persistence: Add Sensitive Role |
add_sensitive_role |
已在超过 10 天前的组织中授予敏感或高度特权的组织级层 IAM 角色。 此发现结果不适用于项目级层激活。 |
Persistence: Project SSH Key Added |
add_ssh_key |
项目级 SSH 密钥已在超过 10 天前的项目中创建。 |
后续步骤
了解如何使用敏感操作服务。
了解如何调查和制定威胁响应方案。