Cette page a été traduite par l'API Cloud Translation.

Présentation du service Actions sensibles

Cette page présente le service Actions sensibles, un service intégré à Security Command Center qui détecte les actions effectuées par un acteur malveillant au sein de votre organisation, de vos dossiers et de vos projets Google Cloud.

Dans la plupart des cas, les actions détectées par le service Actions sensibles ne représentent pas des menaces, car elles sont effectuées par des utilisateurs légitimes à des fins légitimes. Cependant, le service Sensitive Actions ne peut pas déterminer de manière concluante la légitimité. Vous devrez donc peut-être examiner les conclusions de l'enquête avant de vous assurer qu'elles ne représentent pas une menace.

Fonctionnement du service Actions sensibles

Le service Actions sensibles surveille automatiquement tous les journaux d'audit des activités d'administration de votre organisation pour détecter les actions sensibles. Les journaux d'audit des activités d'administration sont toujours activés. Vous n'avez donc pas besoin de les activer ni de les configurer.

Lorsque le service Actions sensibles détecte une action sensible effectuée par un compte Google, il écrit un résultat dans Security Command Center dans la console Google Cloud et une entrée de journal dans les journaux Google Cloud Platform.

Les résultats du service Actions sensibles sont classés en tant qu'observations. Vous pouvez les consulter en recherchant une classe ou la source dans l'onglet Résultats du tableau de bord Security Command Center.

Restrictions

Les sections suivantes décrivent les restrictions qui s'appliquent au service Actions sensibles.

Assistance pour le compte

La détection du service Actions sensibles est limitée aux actions effectuées par les comptes utilisateur.

Restrictions concernant le chiffrement et la résidence des données

Pour détecter les actions sensibles, le service Actions sensibles doit pouvoir analyser les journaux d'audit des activités d'administration de votre organisation.

Si votre organisation chiffre vos journaux à l'aide de clés de chiffrement gérées par le client (CMEK), le service Actions sensibles ne peut pas les lire et, par conséquent, ne peut pas vous prévenir en cas d'actions sensibles.

Les actions sensibles ne peuvent pas être détectées si vous avez configuré l'emplacement du bucket de journaux pour vos journaux d'audit pour les activités d'administration dans un emplacement autre que global. Par exemple, si vous avez spécifié un emplacement de stockage pour le bucket de journaux _Required dans un projet, un dossier ou une organisation spécifique, les journaux de ce projet, dossier ou organisation ne peuvent pas être analysés pour détecter les actions sensibles.

Résultats du service Actions sensibles

Le tableau suivant présente les catégories de résultats que le service Actions sensibles peut générer. Le nom à afficher de chaque résultat commence par la tactique MITRE ATT&CK pour laquelle l'action détectée peut être utilisée.

Nom à afficher	Nom de l'API	Description
`Defense Evasion: Organization Policy Changed`	`change_organization_policy`	Une règle d'administration au niveau de l'organisation a été créée, mise à jour ou supprimée dans une organisation datant de plus de 10 jours. Ce résultat n'est pas disponible pour les activations au niveau du projet.
`Defense Evasion: Remove Billing Admin`	`remove_billing_admin`	Un rôle IAM d'administrateur de la facturation au niveau de l'organisation a été supprimé dans une organisation datant de plus de 10 jours.
`Impact: GPU Instance Created`	`gpu_instance_created`	Une instance GPU a été créée, alors que le compte principal qui l'a créé n'a pas créé d'instance GPU dans le même projet récemment.
`Impact: Many Instances Created`	`many_instances_created`	De nombreuses instances ont été créées dans un projet par le même compte principal en une journée.
`Impact: Many Instances Deleted`	`many_instances_deleted`	De nombreuses instances d'un projet ont été supprimées par le même compte principal en une journée.
`Persistence: Add Sensitive Role`	`add_sensitive_role`	Un rôle IAM sensible ou hautement privilégié au niveau de l'organisation a été attribué à une organisation datant de plus de 10 jours. Ce résultat n'est pas disponible pour les activations au niveau du projet.
`Persistence: Project SSH Key Added`	`add_ssh_key`	Une clé SSH au niveau du projet a été créée dans un projet datant de plus de 10 jours.

Étapes suivantes

En savoir plus sur l'utilisation du service Actions sensibles
Découvrez comment examiner et développer des plans d'intervention sur les menaces.