Questa pagina fornisce una panoramica del servizio per le azioni sensibili, un servizio integrato di Security Command Center che rileva quando vengono intraprese azioni in Google Cloud organizzazione, cartelle e progetti che potrebbero danneggiare la tua azienda se vengono prese da un malintenzionato.
Nella maggior parte dei casi, le azioni rilevate dal servizio per le azioni sensibili non rappresentano minacce, perché sono prese da utenti legittimi per scopi legittimi. Tuttavia, il servizio per le azioni sensibili non può determinare con certezza la legittimità, pertanto potrebbe essere necessario indagare i risultati prima che tu possa assicurarti che non rappresentino una minaccia.
Come funziona il servizio per le azioni sensibili
Il servizio per le azioni sensibili monitora automaticamente Audit log delle attività di amministrazione per le azioni sensibili. Gli audit log per le attività di amministrazione sono sempre attivi, non è necessario abilitarle o configurarle in altro modo.
Quando il servizio per le azioni sensibili rileva un'azione sensibile intrapresa da un Account Google, Servizio per le azioni sensibili scrive un risultato in Security Command Center nella console Google Cloud e una voce di log della piattaforma Google Cloud i log.
I risultati del servizio Azioni sensibili sono classificati come osservazioni e possono essere visualizzati cercando un corso o trovando una fonte nella scheda Risultati della Dashboard di Security Command Center.
Limitazioni
Le seguenti sezioni descrivono le limitazioni che si applicano al servizio per le azioni sensibili.
Assistenza per l'account
Il rilevamento del servizio per le azioni sensibili è limitato alle azioni intraprese dall'utente .
Restrizioni relative a crittografia e residenza dei dati
Per rilevare le azioni sensibili, il servizio per le azioni sensibili deve essere in grado di analizzare i log di controllo dell'attività di amministrazione della tua organizzazione.
Se la tua organizzazione cripta i log utilizzando la crittografia gestita dal cliente (CMEK) per criptare i log, il servizio per le azioni sensibili non può leggere i log e, di conseguenza, non può avvisarti quando si verificano azioni sensibili.
Le azioni sensibili non possono essere rilevate se hai configurato la località dell'evento
bucket di log per gli audit log delle attività di amministrazione in una località diversa
rispetto alla località global
. Ad esempio, se hai specificato uno spazio di archiviazione
località di _Required
di un determinato progetto, cartella o organizzazione, i log di quel
non è possibile analizzare il progetto, la cartella o l'organizzazione per rilevare azioni sensibili.
Risultati del servizio per le azioni sensibili
La tabella seguente mostra le categorie di risultati del servizio Azioni sensibili è in grado di generare. Il nome visualizzato di ogni risultato inizia con MITRE Tattica ATT&CK per cui potrebbe essere utilizzata l'azione rilevata.
Nome visualizzato | Nome API | Descrizione |
---|---|---|
Defense Evasion: Organization Policy Changed |
change_organization_policy |
Un criterio dell'organizzazione a livello di organizzazione è stato creato, aggiornato
o eliminati in un'organizzazione risalente a più di 10 giorni fa. Questo risultato non è disponibile per le attivazioni a livello di progetto. |
Defense Evasion: Remove Billing Admin |
remove_billing_admin |
È stato rimosso un ruolo IAM di amministratore della fatturazione a livello di organizzazione in un'organizzazione risalente a più di 10 giorni fa. |
Impact: GPU Instance Created |
gpu_instance_created |
È stata creata un'istanza GPU, in cui l'entità di creazione non ha ha creato di recente un'istanza GPU nello stesso progetto. |
Impact: Many Instances Created |
many_instances_created |
Molte istanze sono state create in un progetto dalla stessa principale in un giorno. |
Impact: Many Instances Deleted |
many_instances_deleted |
Molte istanze sono state eliminate in un progetto dalla stessa principale in un giorno. |
Persistence: Add Sensitive Role |
add_sensitive_role |
IAM a livello di organizzazione sensibile o con privilegi elevati
è stato concesso in un'organizzazione risalente a più di 10 giorni fa. Questo risultato non è disponibile per le attivazioni a livello di progetto. |
Persistence: Project SSH Key Added |
add_ssh_key |
In un progetto, per un progetto è stata creata una chiave SSH a livello di progetto che abbia più di 10 giorni. |
Passaggi successivi
Scopri di più sull'utilizzo del servizio Azioni sensibili.
Scopri come indagare e sviluppare piani di risposta alle minacce.