このページでは、Security Command Center の組み込みサービスである Sensitive Actions Service の概要について説明します。このサービスは、Google Cloud の組織、フォルダ、プロジェクトで悪意をもって行われた場合にビジネスに損害を与える可能性のあるアクションを検出します。
Sensitive Actions Service で検出されるアクションのほとんどは、正規のユーザーによって正当な目的で実行されるもので、脅威となるものではありません。ただし、Sensitive Actions Service が正しい判定を行うとは限りません。検出結果を調査して検出結果が脅威でないことを確認する必要があります。
Sensitive Actions Service の仕組み
機密アクション サービスは、組織の管理アクティビティ監査ログのすべてのセンシティブ アクションを自動的にモニタリングします。管理アクティビティ監査ログは常時有効になっています。このログを有効にしたり、構成する必要はありません。
Sensitive Actions Service は、Google アカウントによって実行された機密性の高いアクションを検出すると、検出結果を Google Cloud コンソールの Security Command Center に書き込みます。さらに、ログエントリを Google Cloud Platform のログに書き込みます。
Sensitive Actions Service の検出結果はオブザベーションとして分類されます。これは、Security Command Center コンソールの [検出] タブのクラスまたはソースで確認できます。
制限事項
以降のセクションでは、Sensitive Actions Service に適用される制限事項について説明します。
アカウント サポート
Sensitive Actions Service の検出対象は、ユーザー アカウントによって実行されるアクションに限定されています。
暗号化とデータ所在地の制限
機密アクションを検出するには、機密アクション サービスが組織の管理アクティビティ監査ログを分析できる必要があります。
組織で顧客管理の暗号鍵(CMEK)を使用してログを暗号化している場合、Sensitive Actions Service はログを読み取ることができず、機密性の高いアクションが発生してもアラートを送信することはできません。
管理アクティビティ監査ログのログバケットのロケーションを global ロケーション以外に構成している場合、機密性の高いアクションは検出できません。たとえば、特定のプロジェクト、フォルダ、または組織内の _Required ログバケットのストレージのロケーションを指定している場合、そのプロジェクト、フォルダのログ。または組織では機密性の高いアクションをスキャンできません。
Sensitive Actions Service の検出結果
次の表に、Sensitive Actions Service で生成される検出結果のカテゴリを示します。各検出結果の表示名は、検出されたアクションに使用できる MITRE ATT&CK 戦術で始まります。
| 表示名 | API 名 | 説明 |
|---|---|---|
Defense Evasion: Organization Policy Changed |
change_organization_policy |
10 日以上経過した組織で、組織レベルの組織ポリシーが作成、更新、削除されました。 プロジェクト レベルで有効にしている場合、この検出結果は利用できません。 |
Defense Evasion: Remove Billing Admin |
remove_billing_admin |
10 日以上経過した組織で、組織レベルの課金管理者の IAM ロールが削除されました。 |
Impact: GPU Instance Created |
gpu_instance_created |
GPU インスタンスが作成されましたが、作成プリンシパルが、最近同じプロジェクトで GPU インスタンスを作成したことがない場合。 |
Impact: Many Instances Created |
many_instances_created |
プロジェクト内の複数のインスタンスは、同じプリンシパルによって 1 日で作成されました。 |
Impact: Many Instances Deleted |
many_instances_deleted |
プロジェクト内の複数のインスタンスは、同じプリンシパルによって 1 日で削除されました。 |
Persistence: Add Sensitive Role |
add_sensitive_role |
10 日以上経過した組織で、機密性または権限の高い組織レベルの IAM ロールが付与されました。 プロジェクト レベルで有効にしている場合、この検出結果は利用できません。 |
Persistence: Project SSH Key Added |
add_ssh_key |
10 日以上経過したプロジェクトに、プロジェクト レベルの SSH 認証鍵が作成されました。 |
次のステップ
- Sensitive Actions Service の使用方法を学習する。
- 脅威に対する対応計画の調査と開発の方法を学習する。