Sensitive Actions Service の概要

このページでは、Security Command Center の組み込みサービスである Sensitive Actions Service の概要について説明します。このサービスは、 Google Cloud組織、フォルダ、プロジェクトで悪意のある行為者により行われた場合にビジネスに損害を与える可能性のあるアクションを検出します。

Sensitive Actions Service で検出されるアクションのほとんどは、正規のユーザーによって正当な目的で実行されるもので、脅威となるものではありません。ただし、Sensitive Actions Service が正しい判定を行うとは限りません。検出結果を調査して検出結果が脅威でないことを確認する必要があります。

Sensitive Actions Service の仕組み

Sensitive Actions Service は、組織の管理アクティビティ監査ログに記録された機密性の高いアクションを自動的にモニタリングします。管理アクティビティ監査ログは常時有効になっています。このログを有効にしたり、構成する必要はありません。

Sensitive Actions Service は、Google アカウントによって実行された機密性の高いアクションを検出すると、検出結果を Google Cloud コンソールの Security Command Center に書き込みます。さらに、ログエントリを Google Cloud Platform のログに書き込みます。

Sensitive Actions Service の検出結果はオブザベーションとして分類されます。これは、Security Command Center コンソールの [検出] タブのクラスまたはソースで確認できます。

制限事項

以降のセクションでは、Sensitive Actions Service に適用される制限事項について説明します。

アカウントサポート

Sensitive Actions Service の検出対象は、ユーザーアカウントによって実行されるアクションに限定されています。

暗号化とデータ所在地の制限

機密性の高いアクションを検出するには、Sensitive Actions Service が組織の管理アクティビティ監査ログを分析できる必要があります。

組織で顧客管理の暗号鍵（CMEK）を使用してログを暗号化している場合、Sensitive Actions Service はログを読み取ることができず、機密性の高いアクションが発生してもアラートを送信することはできません。

管理アクティビティ監査ログのログバケットのロケーションを global ロケーション以外に構成している場合、機密性の高いアクションは検出できません。たとえば、特定のプロジェクト、フォルダ、または組織内の _Required ログバケットのストレージのロケーションを指定している場合、そのプロジェクト、フォルダのログ。または組織では機密性の高いアクションをスキャンできません。

Sensitive Actions Service の検出結果

次の表に、Sensitive Actions Service で生成される検出結果のカテゴリを示します。各検出結果の表示名は、検出されたアクションに使用できる MITRE ATT&CK 戦術で始まります。

表示名	API 名	説明
`Defense Evasion: Organization Policy Changed`	`change_organization_policy`	10 日以上経過した組織で、組織レベルの組織ポリシーが作成、更新、削除されました。プロジェクトレベルで有効にしている場合、この検出結果は利用できません。
`Defense Evasion: Remove Billing Admin`	`remove_billing_admin`	10 日以上経過した組織で、組織レベルの課金管理者の IAM ロールが削除されました。
`Impact: GPU Instance Created`	`gpu_instance_created`	GPU インスタンスが作成されましたが、そのプリンシパルは、最近同じプロジェクトで GPU インスタンスを作成していません。
`Impact: Many Instances Created`	`many_instances_created`	同じ日に同じプリンシパルによってプロジェクト内に複数のインスタンスが作成されました。
`Impact: Many Instances Deleted`	`many_instances_deleted`	同じ日に同じプリンシパルによってプロジェクト内の複数のインスタンスが削除されました。
`Persistence: Add Sensitive Role`	`add_sensitive_role`	10 日以上経過した組織で、機密性または権限の高い組織レベルの IAM ロールが付与されました。プロジェクトレベルで有効にしている場合、この検出結果は利用できません。
`Persistence: Project SSH Key Added`	`add_ssh_key`	10 日以上経過したプロジェクトに、プロジェクトレベルの SSH 認証鍵が作成されました。

次のステップ

Sensitive Actions Service の使用方法を学習する。
脅威に対する対応計画の調査と開発の方法を学習する。

Sensitive Actions Service の概要 コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。