Questa pagina fornisce una panoramica del servizio Azioni sensibili, un servizio integrato di Security Command Center che rileva quando vengono intraprese azioni nelle organizzazioni, nelle cartelle e nei progetti Google Cloud che potrebbero danneggiare la tua attività se intraprese da un attore malintenzionato.
Nella maggior parte dei casi, le azioni rilevate dal servizio per le azioni sensibili non rappresentano minacce, perché sono prese da utenti legittimi per scopi legittimi. Tuttavia, il Servizio per azioni sensibili non può determinare in modo definitivo la legittimità, pertanto potresti dover esaminare i risultati prima di poterti accertare che non rappresentano una minaccia.
Come funziona il Servizio di azioni sensibili
Il servizio per le azioni sensibili monitora automaticamente Audit log delle attività di amministrazione per le azioni sensibili. Gli audit log per le attività di amministrazione sono sempre attivi, quindi non è necessario attivarli o configurarli in altro modo.
Quando il servizio per le azioni sensibili rileva un'azione sensibile intrapresa da un Account Google, Servizio per le azioni sensibili scrive un risultato in Security Command Center nella console Google Cloud e una voce di log della piattaforma Google Cloud i log.
I risultati del servizio Azioni sensibili sono classificati come osservazioni e possono essere visualizzati cercando un corso o trovando una fonte nella scheda Risultati della Console di Security Command Center.
Limitazioni
Le seguenti sezioni descrivono le limitazioni che si applicano al servizio per le azioni sensibili.
Assistenza per l'account
Il rilevamento del servizio per le azioni sensibili è limitato alle azioni intraprese dall'utente .
Limitazioni relative alla crittografia e alla residenza dei dati
Per rilevare le azioni sensibili, il servizio per le azioni sensibili deve essere in grado di analizzare i log di controllo dell'attività di amministrazione della tua organizzazione.
Se la tua organizzazione cripta i log utilizzando la crittografia gestita dal cliente (CMEK) per criptare i log, il servizio per le azioni sensibili non può leggere i log e, di conseguenza, non può avvisarti quando si verificano azioni sensibili.
Le azioni sensibili non possono essere rilevate se hai configurato la località dell'evento
bucket di log per gli audit log delle attività di amministrazione in una località diversa
rispetto alla località global. Ad esempio, se hai specificato una posizione di archiviazione per il bucket dei log _Required in un determinato progetto, cartella o organizzazione, i log di quel progetto, cartella o organizzazione non possono essere analizzati per rilevare azioni sensibili.
Risultati del servizio per le azioni sensibili
La seguente tabella mostra le categorie di risultati che il Servizio per azioni sensibili può produrre. Il nome visualizzato di ogni rilevamento inizia con la tattica MITRE ATT&CK per la quale l'azione rilevata potrebbe essere utilizzata.
| Nome visualizzato | Nome API | Descrizione |
|---|---|---|
Defense Evasion: Organization Policy Changed |
change_organization_policy |
È stato creato, aggiornato o eliminato un criterio dell'organizzazione a livello di organizzazione in un'organizzazione di oltre 10 giorni fa. Questo risultato non è disponibile per le attivazioni a livello di progetto. |
Defense Evasion: Remove Billing Admin |
remove_billing_admin |
È stato rimosso un ruolo IAM di amministratore della fatturazione a livello di organizzazione in un'organizzazione risalente a più di 10 giorni fa. |
Impact: GPU Instance Created |
gpu_instance_created |
È stata creata un'istanza GPU in cui il principale che l'ha creata non ha creato di recente un'istanza GPU nello stesso progetto. |
Impact: Many Instances Created |
many_instances_created |
Molte istanze sono state create in un progetto dallo stesso proprietario in un giorno. |
Impact: Many Instances Deleted |
many_instances_deleted |
Molte istanze sono state eliminate in un progetto dallo stesso proprietario in un giorno. |
Persistence: Add Sensitive Role |
add_sensitive_role |
È stato concesso un ruolo IAM a livello di organizzazione sensibile o con privilegi elevati in un'organizzazione creata da più di 10 giorni. Questo risultato non è disponibile per le attivazioni a livello di progetto. |
Persistence: Project SSH Key Added |
add_ssh_key |
È stata creata una chiave SSH a livello di progetto per un progetto attivo da più di 10 giorni. |
Passaggi successivi
- Informazioni su utilizzando il servizio di azioni sensibili.
- Scopri come indagare e sviluppare piani di risposta alle minacce.