Nesta página, você encontra uma visão geral do serviço de ações confidenciais, um serviço integrado do Security Command Center que detecta quando ações são realizadas na sua organização, pastas e projetos do Google Cloud que podem prejudicar sua empresa se forem realizadas por alguém mal-intencionado.
Na maioria dos casos, as ações detectadas pelo Serviço de ações sensíveis não representam ameaças, porque são realizadas por usuários legítimos para fins legítimos. No entanto, o Serviço de ações sensíveis não pode determinar a legitimidade de forma conclusiva. Portanto, talvez seja necessário investigar as descobertas antes de ter certeza de que elas não representam uma ameaça.
Como o Serviço de ações sensíveis funciona
O serviço de ações confidenciais monitora automaticamente todos os registros de auditoria de atividade do administrador da organização em busca de ações confidenciais. Os registros de auditoria de atividades do administrador estão sempre ativados. Portanto, não é necessário ativá-los ou configurá-los.
Quando o Serviço de ações sensíveis detecta uma ação realizada por uma Conta do Google, ele grava uma descoberta no Security Command Center no console do Google Cloud e uma entrada de registro dos registros do Google Cloud Platform.
As descobertas do Serviço de ações sensíveis são classificadas como observações e podem ser visualizadas pela descoberta de classe ou descoberta de origem na guia Descobertas no painel do Security Command Center.
Restrições
As seções a seguir descrevem as restrições que se aplicam ao serviço de ações sensíveis.
Suporte da conta
A detecção do Serviço de ações sensíveis está limitada às ações realizadas pelas contas de usuário.
Restrições de criptografia e residência de dados
Para detectar ações sensíveis, o Serviço de ações sensíveis precisa analisar os registros de auditoria de atividade do administrador da sua organização.
Se a organização criptografa seus registros usando chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês), o Serviço de ações sensíveis não pode ler os registros e, consequentemente, não pode enviar alertas quando ações sensíveis ocorrem.
Não será possível detectar ações confidenciais se você tiver configurado o local do bucket de registros para que os registros de auditoria de atividades do administrador estejam em um local diferente de global. Por exemplo, se você tiver especificado um local de armazenamento para o bucket de registros _Required em um determinado projeto, pasta ou organização, não será possível verificar ações confidenciais nos registros desse projeto, pasta ou organização.
Descobertas do Serviço de ações sensíveis
A tabela a seguir mostra as categorias de descoberta que o Serviço de ações sensíveis pode produzir. O nome de exibição de cada descoberta começa com a tática MITRE ATT&CK para a qual a ação detectada pode ser usada.
| Nome de exibição | Nome da API | Descrição |
|---|---|---|
Defense Evasion: Organization Policy Changed |
change_organization_policy |
Uma política da organização no nível da organização foi criada, atualizada
ou excluída, em uma organização com mais de 10 dias. Essa descoberta não está disponível para ativações no nível do projeto. |
Defense Evasion: Remove Billing Admin |
remove_billing_admin |
Um papel do IAM de administrador de faturamento no nível da organização foi removido em uma organização com mais de 10 dias. |
Impact: GPU Instance Created |
gpu_instance_created |
Uma instância de GPU foi criada, em que o principal de criação não criou uma instância de GPU no mesmo projeto recentemente. |
Impact: Many Instances Created |
many_instances_created |
Muitas instâncias foram criadas em um projeto pelo mesmo principal em um dia. |
Impact: Many Instances Deleted |
many_instances_deleted |
Muitas instâncias foram excluídas em um projeto pelo mesmo principal em um dia. |
Persistence: Add Sensitive Role |
add_sensitive_role |
Um papel do IAM sensível ou altamente privilegiado no nível da organização foi concedido em uma organização com mais de 10 dias. Essa descoberta não está disponível para ativações no nível do projeto. |
Persistence: Project SSH Key Added |
add_ssh_key |
Uma chave SSH no nível do projeto foi criada em um projeto com mais de 10 dias. |
A seguir
Saiba mais sobre como usar o Serviço de ações sensíveis.
Saiba como investigar e desenvolver planos de resposta para ameaças.