Descripción general del servicio de acciones sensibles

En esta página, se proporciona una descripción general del servicio de acciones sensibles, un servicio integrado del nivel Premium de Security Command Center que detecta cuándo se realizan acciones en la organización, las carpetas y los proyectos de Google Cloud que podrían dañar tu negocio si las realiza una persona malintencionada.

En la mayoría de los casos, las acciones que detecta el servicio de acciones sensibles no representan amenazas, ya que los usuarios legítimos las realizan con fines legítimos. Sin embargo, el servicio de acciones sensibles no puede determinar de manera concluyente la legitimidad, por lo que es posible que debas investigar los hallazgos antes de asegurarte de que no representan una amenaza.

Cómo funciona el Servicio de acciones sensibles

El servicio de acciones sensibles supervisa de forma automática todos los registros de auditoría de actividad del administrador de tu organización en busca de acciones sensibles. Los registros de auditoría de actividad del administrador siempre están activados, por lo que no necesitas habilitarlos ni configurarlos.

Cuando el servicio de acciones sensibles detecta una acción sensible que realiza una Cuenta de Google, este servicio escribe un resultado en Security Command Center en la consola de Google Cloud y una entrada de registro en los registros de Google Cloud Platform.

Los resultados del servicio de acciones sensibles se clasifican como observaciones y se pueden ver buscando la clase o la fuente en la pestaña Resultados del panel de Security Command Center.

Restricciones

En las siguientes secciones, se describen las restricciones que se aplican al servicio de Acciones Sensibles.

Asistencia de cuenta

La detección del servicio de acciones sensibles se limita a las acciones que realizan las cuentas de usuario.

Compatibilidad con Assured Workloads

El servicio de acciones sensibles no puede detectar acciones sensibles en entornos protegidos por Assured Workloads.

Restricciones de encriptación y residencia de datos

Para detectar acciones sensibles, el servicio de acciones sensibles debe poder analizar los registros de auditoría de actividad del administrador de tu organización.

Si tu organización encripta tus registros mediante claves de encriptación administradas por el cliente (CMEK) para encriptar tus registros, el Servicio de acciones sensibles no podrá leer tus registros y, por lo tanto, no podrá alertarte cuando se produzcan acciones sensibles.

Hallazgos del Servicio de acciones sensibles

En la siguiente tabla, se muestran las categorías de resultados que puede generar el servicio de acciones sensibles. El nombre visible de cada resultado comienza con la táctica MITRE ATT&CK para la que se podría usar la acción detectada.

Nombre visible Nombre de la API Descripción
Defense Evasion: Organization Policy Changed change_organization_policy Se creó, actualizó o borró una política de la organización a nivel de la organización en una organización con más de 10 días de antigüedad.

Este hallazgo no está disponible para activaciones a nivel de proyecto.

Defense Evasion: Remove Billing Admin remove_billing_admin Se quitó un rol de IAM de administrador de facturación a nivel de la organización en una organización con más de 10 días de antigüedad.
Impact: GPU Instance Created gpu_instance_created Se creó una instancia de GPU en la que la principal que se está creando no creó recientemente una instancia de GPU en el mismo proyecto.
Impact: Many Instances Created many_instances_created Muchas instancias se crearon en un proyecto con la misma principal en un día.
Impact: Many Instances Deleted many_instances_deleted La misma principal borró muchas instancias de un proyecto en un día.
Persistence: Add Sensitive Role add_sensitive_role Se otorgó un rol de IAM a nivel de organización sensible o con un gran nivel de privilegios en una organización con más de 10 días de antigüedad.

Este hallazgo no está disponible para activaciones a nivel de proyecto.

Persistence: Project SSH Key Added add_ssh_key Se creó una clave SSH a nivel de proyecto en un proyecto con más de 10 días de antigüedad.

¿Qué sigue?