Benachrichtigungen zu vertraulichen Aktionen

Um Cloud-Umgebungen zu schützen, müssen Identity and Access Management-Konten vor Manipulationen geschützt werden. Wenn ein Angreifer ein privilegiertes Nutzerkonto kompromittiert, kann er Änderungen an einer Cloud-Umgebung vornehmen. Daher ist es wichtig, potenzielle Kompromittierungen zu erkennen, um Organisationen jeder Größe zu schützen. Um Organisationen bei der Sicherheit zu unterstützen, protokolliertGoogle Cloud sensible Aktionen, die von IAM-Nutzerkonten ausgeführt werden, und benachrichtigt Organisationsadministratoren direkt über Advisory Notifications.

Sensible Aktionen sind Aktionen, die erhebliche negative Auswirkungen auf Ihre Google Cloud Organisation haben können, wenn sie von einem böswilligen Akteur mit einem gehackten Konto ausgeführt werden. Diese Aktionen stellen an sich nicht unbedingt eine Bedrohung für Ihre Organisation dar oder deuten darauf hin, dass ein Konto manipuliert wurde. Wir empfehlen Ihnen jedoch, zu prüfen, ob die Aktionen von Ihren Nutzern zu legitimen Zwecken ausgeführt wurden.

Wer erhält Benachrichtigungen zu vertraulichen Aktionen?

Google Cloud benachrichtigt Ihre Organisation über vertrauliche Aktionen, indem eine E‑Mail-Benachrichtigung an die wichtigen Kontakte auf Organisationsebene gesendet wird. Wenn keine wichtigen Kontakte konfiguriert sind, wird die E‑Mail-Benachrichtigung an alle Konten gesendet, die die IAM-Rolle „Organisationsadministrator“ auf Organisationsebene haben.

Wird deaktiviert

Wenn Sie in Ihrer Organisation keine Benachrichtigungen zu sensiblen Aktionen erhalten möchten, können Sie diese deaktivieren. Weitere Informationen finden Sie unter Benachrichtigungen konfigurieren. Wenn Sie Benachrichtigungen zu sensiblen Aktionen deaktivieren, betrifft das nur die Benachrichtigungen, die über Advisory Notifications gesendet werden. Logs zu sensiblen Aktionen werden immer generiert und sind nicht davon betroffen, ob Sie Benachrichtigungen deaktivieren. Wenn Sie Security Command Center verwenden, ist der Sensitive Actions Service nicht betroffen, wenn Sie Benachrichtigungen zu vertraulichen Aktionen deaktivieren.

So funktionieren sensible Aktionen

Google Cloud erkennt sensible Aktionen durch Überwachung der Audit-Logs zur Administratoraktivität Ihrer Organisation. Wenn eine vertrauliche Aktion erkannt wird, schreibt Google Cloud die Aktion in das Plattformlog des Sensitive Actions Service in derselben Ressource, in der die Aktivität stattgefunden hat. Google Cloud fügt das Ereignis auch in eine Benachrichtigung ein, die über Advisory Notifications gesendet wird.

Benachrichtigungshäufigkeit

Wenn in Ihrer Organisation zum ersten Mal eine vertrauliche Aktion beobachtet wird, erhalten Sie einen Bericht, der die ursprüngliche Aktion sowie alle anderen Aktionen enthält, die in der folgenden Stunde stattfinden. Nach dem ersten Bericht erhalten Sie höchstens einmal alle 30 Tage Berichte zu neuen vertraulichen Aktionen in Ihrer Organisation. Wenn in Ihrer Organisation seit längerer Zeit keine vertraulichen Aktionen stattgefunden haben, erhalten Sie den einstündigen Bericht möglicherweise erst, wenn das nächste Mal eine vertrauliche Aktion beobachtet wird.

Wann keine vertraulichen Aktionen erstellt werden

Google Cloud meldet vertrauliche Aktionen nur, wenn das Prinzipal, das die Aktion ausführt, ein Nutzerkonto ist. Aktionen, die von einem Dienstkonto ausgeführt werden, werden nicht gemeldet. Google hat diese Funktion entwickelt, um sich vor Angreifern zu schützen, die Zugriff auf Endnutzeranmeldedaten erhalten und diese verwenden, um unerwünschte Aktionen in Cloud-Umgebungen auszuführen. Da viele dieser Aktionen für Dienstkonten üblich sind, werden für diese Identitäten keine Logs und Empfehlungsbenachrichtigungen erstellt.

Sensible Aktionen können nicht erkannt werden, wenn Sie Ihre Administratoraktivitäts-Prüfprotokolle für eine bestimmte Region konfiguriert haben (d. h. nicht für die Region global). Wenn Sie beispielsweise eine Speicherregion für den Log-Bucket _Required in einer bestimmten Ressource angegeben haben, können Logs aus dieser Ressource nicht nach vertraulichen Aktionen gescannt werden.

Wenn Sie Ihre Audit-Logs zur Administratoraktivität so konfiguriert haben, dass sie mit vom Kunden verwalteten Verschlüsselungsschlüsseln verschlüsselt werden, können Ihre Logs nicht nach sensiblen Aktionen durchsucht werden.

Vertrauliche Aktionen in Security Command Center

Wenn Sie Security Command Center verwenden, können Sie vertrauliche Aktionen über den Sensitive Actions Service als Ergebnisse erhalten.

Die Protokolle für vertrauliche Aktionen und Advisory Notifications bieten zwar einen Einblick in das Kontoverhalten in Ihrer Organisation, Security Command Center bietet jedoch zusätzliche Einblicke und Verwaltungsfunktionen für Sicherheitsteams, die komplexere, größere oder wichtigere Arbeitslasten und Umgebungen schützen. Wir empfehlen, sensible Aktionen als Teil Ihrer allgemeinen Sicherheitsüberwachungsstrategie zu überwachen.

Weitere Informationen zu Security Command Center finden Sie unter:

Preise

Benachrichtigungen für vertrauliche Aktionen in Advisory Notifications sind kostenlos. Für Logs zu sensiblen Aktionen in Cloud Logging fallen gemäß Preise für Logging Kosten für die Aufnahme und Speicherung an. Die Anzahl der Logbucheinträge für vertrauliche Aktionen hängt davon ab, wie oft Nutzerkonten in Ihrer Organisation vertrauliche Aktionen ausführen. Diese Aktionen sind in der Regel ungewöhnlich.

Arten von vertraulichen Aktionen

Google Cloud informiert Sie über die folgenden Arten von sensiblen Aktionen.

Sensitive Roles Added

Einem Hauptkonto mit der IAM-Rolle „Inhaber“ (roles/owner) oder „Bearbeiter“ (roles/editor) wurde die Berechtigung auf Organisationsebene gewährt. Mit diesen Rollen sind zahlreiche Aktionen in Ihrer Organisation möglich.

Billing Admin Removed

Die IAM-Rolle „Rechnungskontoadministrator“ (roles/billing.admin) wurde auf Organisationsebene entfernt. Wenn Sie diese Rolle entfernen, können Sie verhindern, dass Nutzer sie sehen, und Angreifer können unentdeckt bleiben.

Organization Policy Changed

Eine Organisationsrichtlinie wurde auf Organisationsebene erstellt, aktualisiert oder gelöscht. Organisationsrichtlinien auf dieser Ebene können sich auf die Sicherheit allerGoogle Cloud -Ressourcen Ihrer Organisation auswirken.

Project-level SSH Key Added

Ein SSH-Schlüssel auf Projektebene wurde einem Google Cloud -Projekt hinzugefügt, das zuvor keinen solchen Schlüssel hatte. SSH-Schlüssel auf Projektebene können Zugriff auf alle virtuellen Maschinen (VMs) im Projekt gewähren.

GPU Instance Created

Eine VM mit einer GPU wurde in einem Projekt von einer Person erstellt, die in diesem Projekt in letzter Zeit keine GPU-Instanz erstellt hat. Auf Compute Engine-Instanzen mit GPUs können Arbeitslasten wie das Mining von Kryptowährungen gehostet werden.

Many Instances Created

Ein Nutzer hat mehrere VM-Instanzen in einem bestimmten Projekt erstellt. Eine große Anzahl von VM-Instanzen kann für unerwartete Arbeitslasten wie das Mining von Kryptowährungen oder Denial-of-Service-Angriffe verwendet werden.

Many Instances Deleted

Mehrere VM-Instanzen wurden von einem Nutzer in einem bestimmten Projekt gelöscht. Eine große Anzahl von Instanzlöschungen kann Ihr Unternehmen beeinträchtigen.

Nächste Schritte