Cette page présente le service Actions sensibles, un service intégré à Security Command Center qui détecte les actions effectuées dans votre organisation, vos dossiers et vos projets Google Cloud qui pourraient nuire à votre entreprise si elles étaient effectuées par un acteur malveillant.
Dans la plupart des cas, les actions détectées par le service des actions sensibles ne représentent pas des menaces, car elles sont effectuées par des utilisateurs légitimes à des fins légitimes. Cependant, le service des actions sensibles ne peut pas déterminer de manière concluante la légitimité. Vous devrez donc peut-être examiner les résultats avant de vous assurer qu'ils ne représentent pas une menace.
Fonctionnement du service Actions sensibles
Le service d'actions sensibles surveille automatiquement tous les journaux d'audit pour les activités d'administration de votre organisation afin de détecter les actions sensibles. Les journaux d'audit des activités d'administration sont toujours activés. Vous n'avez donc pas besoin de les activer ni de les configurer.
Lorsque le service des actions sensibles détecte une action sensible effectuée par un compte Google, il écrit un résultat dans Security Command Center de la console Google Cloud et une entrée de journal dans les journaux de Google Cloud Platform.
Les résultats générés par le service Actions sensibles sont classés comme des observations. Vous pouvez les consulter en recherchant la classe ou la source dans l'onglet Résultats du tableau de bord Security Command Center.
Restrictions
Les sections suivantes décrivent les restrictions qui s'appliquent au service Sensitive Actions.
Assistance liée au compte
La détection du service des actions sensibles est limitée aux actions effectuées par les comptes utilisateur.
Restrictions de chiffrement et de résidence des données
Pour détecter les actions sensibles, le service Actions sensibles doit pouvoir analyser les journaux d'audit des activités d'administration de votre organisation.
Si votre organisation chiffre vos journaux à l'aide de clés de chiffrement gérées par le client (CMEK), le service Actions sensibles ne peut pas les lire et, par conséquent, ne peut pas vous alerter en cas d'actions sensibles.
Les actions sensibles ne peuvent pas être détectées si vous avez configuré l'emplacement du bucket de journaux pour que vos journaux d'audit pour les activités d'administration se trouvent dans un emplacement autre que global. Par exemple, si vous avez spécifié un emplacement de stockage pour le bucket de journaux _Required dans un projet, un dossier ou une organisation spécifique, les actions sensibles ne peuvent pas être analysées dans les journaux de ce projet, dossier ou organisation.
Résultats du service Sensitive Actions
Le tableau suivant présente les catégories de résultats que le service Actions sensibles peut produire. Le nom à afficher de chaque résultat commence par la stratégie MITRE ATT&CK pour laquelle l'action détectée peut être utilisée.
| Nom à afficher | Nom de l'API | Description |
|---|---|---|
Defense Evasion: Organization Policy Changed |
change_organization_policy |
Une règle d'administration au niveau de l'organisation a été créée, mise à jour ou supprimée dans une organisation datant de plus de 10 jours. Ce résultat n'est pas disponible pour les activations au niveau du projet. |
Defense Evasion: Remove Billing Admin |
remove_billing_admin |
Un rôle IAM d'administrateur de la facturation au niveau de l'organisation a été supprimé dans une organisation datant de plus de 10 jours. |
Impact: GPU Instance Created |
gpu_instance_created |
Une instance GPU a été créée pour laquelle le compte principal à l'origine de la création n'a pas créé d'instance GPU récemment dans le même projet. |
Impact: Many Instances Created |
many_instances_created |
Plusieurs instances ont été créées dans un projet par le même compte principal au cours d'une même journée. |
Impact: Many Instances Deleted |
many_instances_deleted |
Plusieurs instances ont été supprimées dans un projet par le même compte principal en une journée. |
Persistence: Add Sensitive Role |
add_sensitive_role |
Un rôle IAM sensible ou hautement privilégié au niveau de l'organisation a été attribué à une organisation datant de plus de 10 jours. Ce résultat n'est pas disponible pour les activations au niveau du projet. |
Persistence: Project SSH Key Added |
add_ssh_key |
Une clé SSH au niveau du projet a été créée dans un projet datant de plus de 10 jours. |
Étapes suivantes
Découvrez comment utiliser le service Sensitive Actions.
Découvrez comment examiner et développer des plans d'intervention sur les menaces.