Pour protéger les environnements cloud, il est nécessaire de protéger les comptes Identity and Access Management contre toute compromission. La compromission d'un compte utilisateur privilégié permet à un pirate informatique de modifier un environnement cloud. Il est donc essentiel de détecter les compromissions potentielles pour sécuriser les organisations de toutes tailles. Pour aider les organisations à rester sécurisées,Google Cloud consigne les actions sensibles effectuées par les comptes utilisateur IAM et en informe les administrateurs de l'organisation directement par le biais de Advisory Notifications#39;assistance.
Les actions sensibles sont des actions qui peuvent avoir un impact négatif important sur votre organisation Google Cloud si elles sont effectuées par une personne malveillante à l'aide d'un compte piraté. Ces actions ne représentent pas nécessairement une menace pour votre organisation ni n'indiquent qu'un compte a été piraté. Toutefois, nous vous recommandons de vérifier que les actions ont été effectuées par vos utilisateurs à des fins légitimes.
Qui reçoit les notifications d'actions sensibles ?
Google Cloud informe votre organisation des actions sensibles en envoyant une notification par e-mail à vos contacts essentiels au niveau de l'organisation pour des raisons de sécurité. Si aucun contact essentiel n'est configuré, la notification par e-mail est envoyée à tous les comptes disposant du rôle IAM "Administrateur de l'organisation" au niveau de l'organisation.
Désactivation…
Si vous ne souhaitez pas recevoir de notifications concernant les actions sensibles dans votre organisation, vous pouvez les désactiver. Pour en savoir plus, consultez Configurer les notifications. La désactivation des notifications d'actions sensibles n'affecte que les notifications envoyées via Advisory Notifications d'information. Les journaux des actions sensibles sont toujours générés et ne sont pas concernés par la désactivation des notifications. Si vous utilisez Security Command Center, le service Actions sensibles n'est pas affecté par la désactivation des notifications Actions sensibles.
Fonctionnement des actions sensibles
Google Cloud détecte les actions sensibles en surveillant les journaux d'audit des activités d'administration de votre organisation. Lorsqu'une action sensible est détectée, Google Cloud l'écrit dans le journal de plate-forme du service Actions sensiblesdans la même ressource où l'activité s'est produite. Google Cloud inclut également l'événement dans une notification envoyée via les Advisory Notifications#39;information.
Fréquence de notification
La première fois qu'une action sensible est observée dans votre organisation, vous recevez un rapport qui inclut l'action initiale, ainsi que toutes les autres actions qui se produisent dans l'heure suivante. Après le premier rapport, vous recevrez des rapports sur les nouvelles actions sensibles dans votre organisation au maximum une fois tous les 30 jours. Si aucune action sensible n'a été effectuée dans votre organisation depuis longtemps, vous recevrez peut-être le rapport d'une heure la prochaine fois qu'une action sensible sera observée.
Lorsque les actions sensibles ne sont pas produites
Google Cloud ne signale les actions sensibles que si le principal qui les effectue est un compte utilisateur. Les actions effectuées par un compte de service ne sont pas signalées. Google a développé cette fonctionnalité pour se protéger contre les pirates informatiques qui accèdent aux identifiants des utilisateurs finaux et les utilisent pour effectuer des actions indésirables dans les environnements cloud. Étant donné que bon nombre de ces actions sont des comportements courants pour les comptes de service, aucun journal ni aucune notification d'avertissement ne sont générés pour ces identités.
Les actions sensibles ne peuvent pas être détectées si vous avez configuré vos journaux d'audit de l'activité d'administrateur pour qu'ils se trouvent dans une région spécifique (c'est-à-dire autre que la région global). Par exemple, si vous avez spécifié une région de stockage pour le bucket de journaux _Required dans une ressource donnée, les journaux de cette ressource ne peuvent pas être analysés pour détecter les actions sensibles.
Si vous avez configuré vos journaux d'audit des activités d'administration pour qu'ils soient chiffrés avec des clés de chiffrement gérées par le client, vos journaux ne peuvent pas être analysés pour détecter les actions sensibles.
Actions sensibles dans Security Command Center
Si vous utilisez Security Command Center, vous pouvez recevoir les actions sensibles en tant que résultats via le service Actions sensibles.
Bien que les journaux des actions sensibles et Advisory Notifications offrent une perspective sur le comportement des comptes dans votre organisation, Security Command Center fournit des informations et des fonctionnalités de gestion supplémentaires aux équipes de sécurité qui protègent des charges de travail et des environnements plus complexes, plus volumineux ou plus importants. Nous vous recommandons de surveiller les actions sensibles dans le cadre de votre stratégie globale de surveillance de la sécurité.
Pour en savoir plus sur Security Command Center, consultez les ressources suivantes :
Tarifs
Les notifications pour les actions sensibles dans Advisory Notifications;information sont fournies sans frais supplémentaires. Les journaux des actions sensibles dans Cloud Logging entraînent des coûts d'ingestion et de stockage conformément aux tarifs de Logging. Le volume d'entrées de journal des actions sensibles dépend de la fréquence à laquelle les comptes utilisateur de votre organisation effectuent des actions sensibles. Ces actions sont généralement rares.
Types d'actions sensibles
Google Cloud vous informe des types d'actions sensibles suivants.
Sensitive Roles Added
Un compte principal disposant d'un rôle IAM Propriétaire (roles/owner) ou Éditeur (roles/editor) a été accordé au niveau de l'organisation. Ces rôles permettent d'effectuer un grand nombre d'actions dans votre organisation.
Billing Admin Removed
Un rôle IAM d'administrateur de compte de facturation (roles/billing.admin) a été supprimé au niveau de l'organisation. La suppression de ce rôle peut empêcher les utilisateurs d'avoir de la visibilité et fournir à un adversaire un mécanisme pour rester indétectable.
Organization Policy Changed
Une règle d'administration a été créée, modifiée ou supprimée au niveau de l'organisation. Les règles d'administration au niveau de l'organisation peuvent affecter la sécurité de toutes les ressourcesGoogle Cloud de votre organisation.
Project-level SSH Key Added
Une clé SSH au niveau du projet a été ajoutée à un projet Google Cloud qui n'en possédait pas auparavant. Les clés SSH au niveau du projet peuvent accorder l'accès à toutes les machines virtuelles (VM) du projet.
GPU Instance Created
Une VM avec un GPU a été créée dans un projet par une personne qui n'avait pas créé d'instance de GPU dans ce projet récemment. Les instances Compute Engine avec GPU peuvent héberger des charges de travail telles que l'extraction de cryptomonnaies.
Many Instances Created
Un utilisateur a créé plusieurs instances de VM dans un projet donné. Un grand nombre d'instances de VM peut être utilisé pour des charges de travail inattendues, telles que le minage de cryptomonnaie ou les attaques par déni de service.
Many Instances Deleted
Un utilisateur a supprimé plusieurs instances de VM dans un projet donné. Un grand nombre de suppressions d'instances peut perturber votre activité.
Étapes suivantes
- Découvrez comment afficher les notifications.
- Découvrez comment répondre aux notifications d'actions sensibles.
- Découvrez comment activer ou désactiver les notifications.