La protezione degli ambienti cloud richiede la protezione degli account Identity and Access Management da compromissioni. Il compromesso di un account utente con privilegi consente a un malintenzionato di apportare modifiche a un ambiente cloud, pertanto il rilevamento di potenziali compromissioni è essenziale per proteggere le organizzazioni di ogni dimensione. Per aiutare le organizzazioni a rimanere al sicuro, Google Cloud registra le azioni sensibili intraprese dagli account utente IAM e notifica direttamente agli amministratori dell'organizzazione queste azioni tramite le notifiche di consulenza.
Le azioni sensibili sono azioni che possono avere un effetto negativo significativo sulla tua Google Cloud organizzazione se intraprese da un utente malintenzionato che utilizza un account compromesso. Queste azioni di per sé non rappresentano necessariamente una minaccia per la tua organizzazione o non indicano che un account è stato compromesso. Tuttavia, ti consigliamo di verificare che le azioni siano state intraprese dai tuoi utenti per scopi legittimi.
Chi riceve le notifiche relative alle azioni sensibili
Google Cloud avvisa la tua organizzazione delle azioni sensibili inviando una notifica via email ai contatti essenziali a livello di organizzazione per motivi di sicurezza. Se non sono configurati contatti essenziali, la notifica via email viene inviata a tutti gli account con il ruolo IAM Amministratore dell'organizzazione a livello di organizzazione.
Disattivazione in corso…
Se non vuoi ricevere notifiche relative alle azioni sensibili nella tua organizzazione, puoi disattivarle. Per ulteriori informazioni, vedi Configurare le notifiche. La disattivazione delle notifiche relative alle azioni sensibili riguarda solo le notifiche inviate tramiteNotifiche di consulenzas. I log delle azioni sensibili vengono sempre generati e non sono interessati dalla disattivazione delle notifiche. Se utilizzi Security Command Center, il servizio Azioni sensibili non è interessato dalla disattivazione delle notifiche Azioni sensibili.
Come funziona Azioni sensibili
Google Cloud rileva le azioni sensibili monitorando gli audit log delle attività amministrative della tua organizzazione. Quando viene rilevata un'azione sensibile, Google Cloud scrive l'azione nel log della piattaforma del servizio Azioni sensibili nella stessa risorsa in cui si è verificata l'attività. Google Cloud Inoltre include l'evento in una notifica inviata tramite Notifiche di consulenza.
Frequenza di notifica
La prima volta che viene osservata un'azione sensibile nella tua organizzazione, ricevi un report che include l'azione iniziale, più qualsiasi altra azione che si verifica nell'ora successiva. Dopo il report iniziale, ricevi report sulle nuove azioni sensibili nella tua organizzazione al massimo una volta ogni 30 giorni. Se non sono state eseguite azioni sensibili nella tua organizzazione per molto tempo, potresti ricevere il report di un'ora la volta successiva che viene osservata un'azione sensibile.
Quando le azioni sensibili non vengono prodotte
Google Cloud segnala le azioni sensibili solo se il principal che esegue l'azione è un account utente. Le azioni intraprese da un service account non vengono segnalate. Google ha sviluppato questa funzionalità per proteggere dagli avversari che ottengono l'accesso alle credenziali degli utenti finali e le utilizzano per intraprendere azioni indesiderate negli ambienti cloud. Poiché molte di queste azioni sono comportamenti comuni per gli account di servizio, non vengono generati log e notifiche di avviso per queste identità.
Le azioni sensibili non possono essere rilevate se hai configurato i log di controllo dell'attività amministratore in modo che si trovino in una regione specifica (ovvero non nella regione global). Ad esempio, se hai
specificato una regione di archiviazione
per il bucket dei log _Required in una determinata risorsa, i log di quella risorsa
non possono essere analizzati per rilevare azioni sensibili.
Se hai configurato gli audit log delle attività di amministrazione in modo che vengano criptati con chiavi di crittografia gestite dal cliente, i tuoi log non possono essere analizzati per rilevare azioni sensibili.
Azioni sensibili in Security Command Center
Se utilizzi Security Command Center, puoi ricevere le azioni sensibili come risultati tramite il servizio Azioni sensibili.
Sebbene i log delle azioni sensibili e Notifiche di consulenza forniscano una prospettiva sul comportamento degli account nella tua organizzazione, Security Command Center offre ulteriori informazioni e funzionalità di gestione per i team di sicurezza che proteggono carichi di lavoro e ambienti più complessi, grandi o importanti. Ti consigliamo di monitorare le azioni sensibili come parte della tua strategia di monitoraggio della sicurezza complessiva.
Per ulteriori informazioni su Security Command Center, consulta le seguenti risorse:
Prezzi
Le notifiche per le azioni sensibili in Notifiche di consulenza vengono fornite senza costi aggiuntivi. I log delle azioni sensibili in Cloud Logging comportano costi di importazione e archiviazione in conformità con i prezzi di Logging. Il volume delle voci di log delle azioni sensibili dipende dalla frequenza con cui gli account utente della tua organizzazione eseguono azioni sensibili. Queste azioni sono in genere insolite.
Tipi di azioni sensibili
Google Cloud ti informa dei seguenti tipi di azioni sensibili.
Sensitive Roles Added
A un'entità con un ruolo IAM Proprietario (roles/owner) o Editor (roles/editor) è stato concesso a livello di organizzazione. Questi ruoli
consentono un numero elevato di azioni in tutta l'organizzazione.
Billing Admin Removed
Un ruolo IAM Amministratore account di fatturazione (roles/billing.admin)
è stato rimosso a livello di organizzazione. La rimozione di questo ruolo può impedire agli utenti di
avere visibilità e fornire a un avversario un meccanismo per rimanere non rilevato.
Organization Policy Changed
È stato creato, aggiornato o eliminato un criterio dell'organizzazione a livello di organizzazione. I criteri dell'organizzazione a questo livello possono influire sulla sicurezza di tutte le risorseGoogle Cloud della tua organizzazione.
Project-level SSH Key Added
A un progetto Google Cloud è stata aggiunta una chiave SSH a livello di progetto che in precedenza non ne aveva una. Le chiavi SSH a livello di progetto possono concedere l'accesso a tutte le macchine virtuali (VM) del progetto.
GPU Instance Created
Una VM con una GPU è stata creata in un progetto da una persona che non aveva creato un'istanza GPU in quel progetto di recente. Le istanze di Compute Engine con GPU possono ospitare carichi di lavoro come il mining di criptovalute.
Many Instances Created
Un utente ha creato più istanze VM in un determinato progetto. Un numero elevato di istanze VM può essere utilizzato per carichi di lavoro imprevisti, come il mining di criptovalute o attacchi denial of service.
Many Instances Deleted
Più istanze VM sono state eliminate da un utente in un determinato progetto. Un numero elevato di eliminazioni di istanze può interrompere la tua attività.
Passaggi successivi
- Scopri come visualizzare le notifiche.
- Scopri come rispondere alle notifiche relative alle azioni sensibili.
- Scopri come attivare o disattivare le notifiche.