En esta página, se proporciona una descripción general del servicio de acciones sensibles, un servicio integrado del nivel Premium de Security Command Center que detecta cuándo se realizan acciones en la organización, las carpetas y los proyectos de Google Cloud que podrían dañar tu negocio si las realiza una persona malintencionada.
En la mayoría de los casos, las acciones que detecta el servicio de acciones sensibles no representan amenazas, ya que los usuarios legítimos las realizan con fines legítimos. Sin embargo, el servicio de acciones sensibles no puede determinar de manera concluyente la legitimidad, por lo que es posible que debas investigar los hallazgos antes de asegurarte de que no representan una amenaza.
Cómo funciona el Servicio de acciones sensibles
El servicio de acciones sensibles supervisa de forma automática todos los registros de auditoría de actividad del administrador de tu organización en busca de acciones sensibles. Los registros de auditoría de actividad del administrador siempre están activados, por lo que no necesitas habilitarlos ni configurarlos.
Cuando el servicio de acciones sensibles detecta una acción sensible que realiza una Cuenta de Google, este servicio escribe un resultado en Security Command Center en la consola de Google Cloud y una entrada de registro en los registros de Google Cloud Platform.
Los resultados del servicio de acciones sensibles se clasifican como observaciones y se pueden ver buscando la clase o la fuente en la pestaña Resultados del panel de Security Command Center.
Restricciones
En las siguientes secciones, se describen las restricciones que se aplican al servicio de Acciones Sensibles.
Asistencia de cuenta
La detección del servicio de acciones sensibles se limita a las acciones que realizan las cuentas de usuario.
Compatibilidad con Assured Workloads
El servicio de acciones sensibles no puede detectar acciones sensibles en entornos protegidos por Assured Workloads.
Restricciones de encriptación y residencia de datos
Para detectar acciones sensibles, el servicio de acciones sensibles debe poder analizar los registros de auditoría de actividad del administrador de tu organización.
Si tu organización encripta tus registros mediante claves de encriptación administradas por el cliente (CMEK) para encriptar tus registros, el Servicio de acciones sensibles no podrá leer tus registros y, por lo tanto, no podrá alertarte cuando se produzcan acciones sensibles.
Hallazgos del Servicio de acciones sensibles
En la siguiente tabla, se muestran las categorías de resultados que puede generar el servicio de acciones sensibles. El nombre visible de cada resultado comienza con la táctica MITRE ATT&CK para la que se podría usar la acción detectada.
Nombre visible | Nombre de la API | Descripción |
---|---|---|
Defense Evasion: Organization Policy Changed |
change_organization_policy |
Se creó, actualizó o borró
una política de la organización a nivel de la organización en una organización con más de 10 días de antigüedad. Este hallazgo no está disponible para activaciones a nivel de proyecto. |
Defense Evasion: Remove Billing Admin |
remove_billing_admin |
Se quitó un rol de IAM de administrador de facturación a nivel de la organización en una organización con más de 10 días de antigüedad. |
Impact: GPU Instance Created |
gpu_instance_created |
Se creó una instancia de GPU en la que la principal que se está creando no creó recientemente una instancia de GPU en el mismo proyecto. |
Impact: Many Instances Created |
many_instances_created |
Muchas instancias se crearon en un proyecto con la misma principal en un día. |
Impact: Many Instances Deleted |
many_instances_deleted |
La misma principal borró muchas instancias de un proyecto en un día. |
Persistence: Add Sensitive Role |
add_sensitive_role |
Se otorgó un rol de IAM a nivel de organización sensible o con un gran nivel de
privilegios en una organización con más de 10 días de antigüedad. Este hallazgo no está disponible para activaciones a nivel de proyecto. |
Persistence: Project SSH Key Added |
add_ssh_key |
Se creó una clave SSH a nivel de proyecto en un proyecto con más de 10 días de antigüedad. |
¿Qué sigue?
Obtén más información para usar el Servicio de acciones sensibles.
Obtén información a fin de investigar y desarrollar planes de respuesta para las amenazas.