Zum Schutz von Cloud-Umgebungen müssen Identity and Access Management-Konten vor Manipulation geschützt werden. Wenn ein Angreifer ein privilegiertes Nutzerkonto manipuliert, kann er Änderungen an einer Cloud-Umgebung vornehmen. Daher ist die Erkennung potenzieller Manipulationen für die Sicherheit von Unternehmen jeder Größe unerlässlich. Um Organisationen zu schützen, protokolliertGoogle Cloud sensible Aktionen, die von IAM-Nutzerkonten ausgeführt werden, und benachrichtigt die Administratoren der Organisation direkt über Beratungsbenachrichtigungen.
Sensible Aktionen sind Aktionen, die sich erheblich negativ auf Ihre Google Cloud Organisation auswirken können, wenn sie von einem böswilligen Akteur mit einem manipulierten Konto ausgeführt werden. Diese Aktionen stellen für sich genommen nicht unbedingt eine Bedrohung für Ihre Organisation dar oder deuten darauf hin, dass ein Konto manipuliert wurde. Wir empfehlen Ihnen jedoch, zu prüfen, ob die Aktionen von Ihren Nutzern zu legitimen Zwecken ausgeführt wurden.
Wer erhält Benachrichtigungen zu vertraulichen Aktionen?
Google Cloud benachrichtigt Ihre Organisation über vertrauliche Aktionen, indem eine E-Mail-Benachrichtigung an die wichtigen Kontakte auf Organisationsebene gesendet wird. Wenn keine wichtigen Kontakte konfiguriert sind, wird die E-Mail-Benachrichtigung an alle Konten gesendet, die die IAM-Rolle „Organization Admin“ auf Organisationsebene haben.
Wird deaktiviert
Wenn Sie in Ihrer Organisation keine Benachrichtigungen zu sensiblen Aktionen erhalten möchten, können Sie diese deaktivieren. Weitere Informationen finden Sie unter Benachrichtigungen konfigurieren. Wenn Sie Benachrichtigungen zu sensiblen Aktionen deaktivieren, wirkt sich das nur auf die Benachrichtigungen aus, die über Advisory Notifications gesendet werden. Logs zu sensiblen Aktionen werden immer generiert und sind von der Deaktivierung von Benachrichtigungen nicht betroffen. Wenn Sie Security Command Center verwenden, ist der Sensitive Actions Service nicht betroffen, wenn Sie Benachrichtigungen zu vertraulichen Aktionen deaktivieren.
So funktionieren sensible Aktionen
Google Cloud erkennt sensible Aktionen, indem die Audit-Logs zur Administratoraktivität Ihrer Organisation überwacht werden. Wenn eine sensible Aktion erkannt wird, schreibt Google Cloud die Aktion in das Protokoll der Plattform für sensible Aktionen in derselben Ressource, in der die Aktivität stattgefunden hat. Google Cloud fügt das Ereignis auch in eine Benachrichtigung ein, die über die Funktion „Benachrichtigungen zu Warnungen“ gesendet wird.
Benachrichtigungshäufigkeit
Wenn zum ersten Mal eine sensible Aktion in Ihrer Organisation erkannt wird, erhalten Sie einen Bericht mit der ersten Aktion sowie allen anderen Aktionen, die in der folgenden Stunde stattfinden. Nach dem ersten Bericht erhalten Sie Berichte zu neuen sensiblen Aktionen in Ihrer Organisation höchstens einmal alle 30 Tage. Wenn in Ihrer Organisation seit langem keine vertraulichen Aktionen mehr stattgefunden haben, erhalten Sie den Bericht möglicherweise erst nach einer Stunde, wenn eine vertrauliche Aktion festgestellt wird.
Wenn keine vertraulichen Aktionen erfasst werden
Google Cloud sendet nur dann Berichte zu vertraulichen Aktionen, wenn der Rechtssubjekt, der die Aktion ausführt, ein Nutzerkonto ist. Aktionen, die von einem Dienstkonto ausgeführt werden, werden nicht gemeldet. Google hat diese Funktion entwickelt, um sich vor Angreifern zu schützen, die Zugriff auf Anmeldedaten von Endnutzern erhalten und diese verwenden, um in Cloud-Umgebungen unerwünschte Aktionen auszuführen. Da viele dieser Aktionen für Dienstkonten üblich sind, werden für diese Identitäten keine Protokolle und Benachrichtigungen erstellt.
Sensible Aktionen können nicht erkannt werden, wenn Sie die Prüfprotokolle für Administratoraktivitäten so konfiguriert haben, dass sie sich in einer bestimmten Region befinden (d. h. nicht in der Region global). Wenn Sie beispielsweise für den _Required-Log-Bucket in einer bestimmten Ressource eine Speicherregion angegeben haben, können Logs aus dieser Ressource nicht auf vertrauliche Aktionen geprüft werden.
Wenn Sie Ihre Audit-Logs für Administratoraktivitäten so konfiguriert haben, dass sie mit vom Kunden verwalteten Verschlüsselungsschlüsseln verschlüsselt werden, können Ihre Logs nicht auf vertrauliche Aktionen geprüft werden.
Vertrauliche Aktionen im Security Command Center
Wenn Sie Security Command Center verwenden, können Sie vertrauliche Aktionen über den Sensitive Actions Service als Ergebnisse erhalten.
Die Protokolle zu sensiblen Aktionen und die Benachrichtigungen zu Sicherheitsrisiken bieten zwar einen Einblick in das Kontoverhalten in Ihrer Organisation, das Security Command Center bietet jedoch zusätzliche Informationen und Verwaltungsfunktionen für Sicherheitsteams, die komplexere, größere oder wichtigere Arbeitslasten und Umgebungen schützen. Wir empfehlen, sensible Aktionen als Teil Ihrer allgemeinen Sicherheitsüberwachungsstrategie zu überwachen.
Weitere Informationen zu Security Command Center finden Sie unter den folgenden Links:
Preise
Benachrichtigungen zu vertraulichen Aktionen in Benachrichtigungen mit Hinweisen sind kostenlos. Für Protokolle zu sensiblen Aktionen in Cloud Logging fallen gemäß den Preisen für Logging Kosten für die Aufnahme und Speicherung an. Die Anzahl der Logeinträge für sensible Aktionen hängt davon ab, wie oft Nutzerkonten in Ihrer Organisation sensible Aktionen ausführen. Diese Aktionen sind in der Regel selten.
Arten sensibler Aktionen
Google Cloud informiert Sie über die folgenden Arten sensibler Aktionen.
Sensitive Roles Added
Einem Hauptkonto mit der IAM-Rolle „Inhaber“ (roles/owner) oder „Bearbeiter“ (roles/editor) wurde auf Organisationsebene eine Berechtigung gewährt. Mit diesen Rollen können Sie eine große Anzahl von Aktionen in Ihrer Organisation ausführen.
Billing Admin Removed
Die IAM-Rolle „Rechnungskontoadministrator“ (roles/billing.admin) wurde auf Organisationsebene entfernt. Wenn diese Rolle entfernt wird, können Nutzer keine Daten sehen und Angreifer können unentdeckt bleiben.
Organization Policy Changed
Eine Organisationsrichtlinie wurde auf Organisationsebene erstellt, aktualisiert oder gelöscht. Organisationsrichtlinien auf dieser Ebene können sich auf die Sicherheit allerGoogle Cloud -Ressourcen Ihrer Organisation auswirken.
Project-level SSH Key Added
Einem Google Cloud Projekt, das zuvor keinen solchen Schlüssel hatte, wurde ein SSH-Schlüssel auf Projektebene hinzugefügt. Mit SSH-Schlüsseln auf Projektebene kann Zugriff auf alle virtuellen Maschinen (VMs) im Projekt gewährt werden.
GPU Instance Created
Eine VM mit einer GPU wurde in einem Projekt von einer Person erstellt, die in letzter Zeit keine GPU-Instanz in diesem Projekt erstellt hatte. Compute Engine-Instanzen mit GPUs können Arbeitslasten wie das Mining von Kryptowährungen hosten.
Many Instances Created
Ein Nutzer hat mehrere VM-Instanzen in einem bestimmten Projekt erstellt. Eine große Anzahl von VM-Instanzen kann für unerwartete Arbeitslasten wie Kryptowährungs-Mining oder Denial-of-Service-Angriffe verwendet werden.
Many Instances Deleted
Mehrere VM-Instanzen wurden von einem Nutzer in einem bestimmten Projekt gelöscht. Das Löschen einer großen Anzahl von Instanzen kann Ihre Geschäftstätigkeit beeinträchtigen.
Nächste Schritte
- Weitere Informationen zum Ansehen von Benachrichtigungen
- Weitere Informationen zum Beantworten von Benachrichtigungen zu sensiblen Aktionen
- Weitere Informationen zum Aktivieren oder Deaktivieren von Benachrichtigungen