Visão geral do Serviço de ações sensíveis

Nesta página, você encontrará uma visão geral do Serviço de ações sensíveis, um serviço integrado do nível Premium do Security Command Center que detecta quando ações realizadas na organização, pastas e projetos do Google Cloud podem ser prejudiciais à sua empresa se forem feitas por uma pessoa mal-intencionada.

Na maioria dos casos, as ações detectadas pelo Serviço de ações sensíveis não representam ameaças, porque são realizadas por usuários legítimos para fins legítimos. No entanto, o Serviço de ações sensíveis não pode determinar a legitimidade de forma conclusiva. Portanto, talvez seja necessário investigar as descobertas antes de ter certeza de que elas não representam uma ameaça.

Como o Serviço de ações sensíveis funciona

O Serviço de ações sensíveis monitora automaticamente todos os registros de auditoria de atividade do administrador da sua organização para identificar ações sensíveis. Os registros de auditoria de atividades do administrador estão sempre ativados. Portanto, não é necessário ativá-los ou configurá-los.

Quando o Serviço de ações sensíveis detecta uma ação realizada por uma Conta do Google, ele grava uma descoberta no Security Command Center no console do Google Cloud e uma entrada de registro dos registros do Google Cloud Platform.

As descobertas do Serviço de ações sensíveis são classificadas como observações e podem ser visualizadas pela descoberta de classe ou descoberta de origem na guia Descobertas no painel do Security Command Center.

Restrições

As seções a seguir descrevem as restrições que se aplicam ao serviço de ações sensíveis.

Suporte da conta

A detecção do Serviço de ações sensíveis está limitada às ações realizadas pelas contas de usuário.

Suporte ao Assured Workloads

O serviço de ações confidenciais não pode detectar ações confidenciais em ambientes seguros pelo Assured Workloads.

Restrições de criptografia e residência de dados

Para detectar ações sensíveis, o Serviço de ações sensíveis precisa analisar os registros de auditoria de atividade do administrador da sua organização.

Se a organização criptografa seus registros usando chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês), o Serviço de ações sensíveis não pode ler os registros e, consequentemente, não pode enviar alertas quando ações sensíveis ocorrem.

Descobertas do Serviço de ações sensíveis

A tabela a seguir mostra as categorias de descoberta que o Serviço de ações sensíveis pode produzir. O nome de exibição de cada descoberta começa com a tática ATT&CK do MITRE para a qual a ação detectada pode ser usada.

Nome de exibição Nome da API Descrição
Defense Evasion: Organization Policy Changed change_organization_policy Uma política da organização no nível da organização foi criada, atualizada ou excluída, em uma organização com mais de 10 dias.

Essa descoberta não está disponível para ativações no nível do projeto.

Defense Evasion: Remove Billing Admin remove_billing_admin Um papel do IAM de administrador de faturamento no nível da organização foi removido em uma organização com mais de 10 dias.
Impact: GPU Instance Created gpu_instance_created Uma instância de GPU foi criada, em que o principal de criação não criou uma instância de GPU no mesmo projeto recentemente.
Impact: Many Instances Created many_instances_created Muitas instâncias foram criadas em um projeto pelo mesmo principal em um dia.
Impact: Many Instances Deleted many_instances_deleted Muitas instâncias foram excluídas em um projeto pelo mesmo principal em um dia.
Persistence: Add Sensitive Role add_sensitive_role Um papel do IAM sensível ou altamente privilegiado no nível da organização foi concedido em uma organização com mais de 10 dias.

Essa descoberta não está disponível para ativações no nível do projeto.

Persistence: Project SSH Key Added add_ssh_key Uma chave SSH no nível do projeto foi criada em um projeto com mais de 10 dias.

A seguir