Cette page présente le service Sensitive Actions, un service intégré Security Command Center qui détecte les actions effectuées dans votre Google Cloud organisation, dossiers et projets susceptibles de nuire à votre entreprise si ils sont pris par un acteur malveillant.
Dans la plupart des cas, les actions détectées par le service Sensitive Actions ne représentent pas des menaces, car elles sont prises par des utilisateurs légitimes à des fins légitimes. Toutefois, le service d'actions sensibles ne peut pas déterminer de manière définitive la légitimité. Vous devrez peut-être examiner les résultats avant de pouvoir vous assurer qu'ils ne représentent pas une menace.
Fonctionnement du service d'actions sensibles
Le service des actions sensibles surveille automatiquement tous les journaux d'audit des activités d'administration de votre organisation pour détecter les actions sensibles. Les journaux d'audit des activités d'administration étant toujours activés, pas besoin de les activer ni de les configurer.
Lorsque le service d'actions sensibles détecte une action sensible effectuée par un compte Google, il envoie un résultat à Security Command Center dans la console Google Cloud et une entrée de journal dans les journaux de la plate-forme Google Cloud.
Les résultats du service Actions sensibles sont classés comme observations et peuvent être affichés par classe de résultat ou par source de résultat dans l'onglet Résultats de la console Security Command Center.
Restrictions
Les sections suivantes décrivent les restrictions qui s'appliquent au service Sensitive Actions.
Assistance liée au compte
La détection du service des actions sensibles est limitée aux actions effectuées par l'utilisateur Google Cloud.
Restrictions liées au chiffrement et à la résidence des données
Pour détecter les actions sensibles, le service des actions sensibles doit pouvoir analyser les journaux d'audit des activités d'administration de votre organisation.
Si votre organisation chiffre vos journaux à l'aide de clés de chiffrement gérées par le client (CMEK), le service d'actions sensibles ne peut pas les lire et, par conséquent, ne peut pas vous alerter lorsque des actions sensibles se produisent.
Les actions sensibles ne peuvent pas être détectées si vous avez configuré l'emplacement du bucket de journaux pour vos journaux d'audit des activités d'administration à un autre emplacement que celui de global. Par exemple, si vous avez spécifié un emplacement de stockage pour le bucket de journaux _Required dans un projet, un dossier ou une organisation donnés, les journaux de ce projet, de ce dossier ou de cette organisation ne peuvent pas être analysés pour détecter les actions sensibles.
Résultats du service Sensitive Actions
Le tableau suivant présente les catégories de résultats pour lesquelles le service Sensitive Actions peut produire. Le nom à afficher pour chaque résultat commence par la tactique MITRE ATT&CK pouvant être utilisée pour l'action détectée.
| Nom à afficher | Nom de l'API | Description |
|---|---|---|
Defense Evasion: Organization Policy Changed |
change_organization_policy |
Une règle d'administration au niveau de l'organisation a été créée, mise à jour ou supprimée dans une organisation datant de plus de 10 jours. Cette information n'est pas disponible pour les activations au niveau du projet. |
Defense Evasion: Remove Billing Admin |
remove_billing_admin |
Un rôle IAM d'administrateur de la facturation au niveau de l'organisation a été supprimé dans une organisation datant de plus de 10 jours. |
Impact: GPU Instance Created |
gpu_instance_created |
Une instance GPU a été créée, alors que le principal de création n'a pas créé récemment d'instance GPU dans le même projet. |
Impact: Many Instances Created |
many_instances_created |
De nombreuses instances ont été créées dans un projet par le même administrateur en une seule journée. |
Impact: Many Instances Deleted |
many_instances_deleted |
De nombreuses instances ont été supprimées dans un projet par le même administrateur en une journée. |
Persistence: Add Sensitive Role |
add_sensitive_role |
Un rôle IAM sensible ou hautement privilégié au niveau de l'organisation a été attribué à une organisation âgée de plus de 10 jours. Cette information n'est pas disponible pour les activations au niveau du projet. |
Persistence: Project SSH Key Added |
add_ssh_key |
Une clé SSH au niveau du projet a été créée dans un projet, pour un projet datant de plus de 10 jours. |
Étape suivante
- En savoir plus à l'aide du service Sensitive Actions.
- Découvrez comment examiner et développer des plans d'intervention pour détecter les menaces.