Para proteger ambientes de nuvem, é necessário proteger as contas do Identity and Access Management contra violações. Comprometer uma conta de usuário privilegiada permite que um invasor faça mudanças em um ambiente de nuvem. Por isso, detectar possíveis comprometimentos é essencial para proteger organizações de todos os tamanhos. Para ajudar as organizações a manter a segurança, oGoogle Cloud registra as ações sensíveis realizadas por contas de usuário do IAM e notifica os administradores da organização sobre essas ações diretamente pelas Notificações consultivas.
Ações sensíveis são aquelas que podem ter um efeito negativo significativo na sua organização do Google Cloud se forem realizadas por uma pessoa mal-intencionada usando uma conta comprometida. Essas ações por si só não representam necessariamente uma ameaça à sua organização nem indicam que uma conta foi comprometida. No entanto, recomendamos que você confirme se as ações foram realizadas pelos seus usuários com propósitos legítimos.
Quem recebe notificações de ações sensíveis
OGoogle Cloud notifica sua organização sobre ações sensíveis enviando uma notificação por e-mail aos contatos essenciais no nível da organização por motivos de segurança. Se não houver contatos essenciais configurados, a notificação por e-mail será enviada a todas as contas que têm o papel de administrador da organização do IAM no nível da organização.
Recusando
Se você não quiser receber notificações de ações sensíveis na sua organização, desative essa opção. Para mais informações, consulte Configurar notificações. A desativação das notificações de ações sensíveis afeta apenas as notificações enviadas pelas notificações consultivas. Os registros de ações sensíveis são sempre gerados e não são afetados pela desativação das notificações. Se você usa o Security Command Center, o Serviço de ações sensíveis não é afetado pela desativação das notificações de ações sensíveis.
Como as ações sensíveis funcionam
OGoogle Cloud detecta ações sensíveis monitorando os registros de auditoria de atividade do administrador da sua organização. Quando uma ação sensível é detectada, Google Cloud grava a ação no registro da plataforma do Serviço de ações sensíveis no mesmo recurso em que a atividade ocorreu. Google Cloud também inclui o evento em uma notificação entregue pelas Notificações consultivas.
Frequência de notificação
Na primeira vez que uma ação sensível é observada na sua organização, você recebe um relatório que inclui a ação inicial e todas as outras ações que ocorrem na hora seguinte. Depois do relatório inicial, você recebe relatórios sobre novas ações sensíveis na sua organização no máximo uma vez a cada 30 dias. Se não houver ações sensíveis na sua organização há muito tempo, você poderá receber o relatório de uma hora na próxima vez que uma ação sensível for observada.
Quando as ações sensíveis não são geradas
OGoogle Cloud informa ações sensíveis apenas se o principal que realiza a ação for uma conta de usuário. As ações realizadas por uma conta de serviço não são informadas. O Google desenvolveu esse recurso para proteger contra adversários que acessam credenciais de usuários finais e as usam para realizar ações indesejadas em ambientes de nuvem. Como muitas dessas ações são comportamentos comuns para contas de serviço, os registros e as notificações de aviso não são gerados para essas identidades.
As ações sensíveis não podem ser detectadas se você configurou os registros de auditoria de atividade do administrador para ficarem em uma região específica (ou seja, não a região global). Por exemplo, se você especificou uma região de armazenamento para o bucket de registros _Required em um determinado recurso, os registros desse recurso não poderão ser verificados em busca de ações sensíveis.
Se você configurou os registros de auditoria de atividade do administrador para serem criptografados com chaves de criptografia gerenciadas pelo cliente, não será possível verificar seus registros em busca de ações sensíveis.
Ações sensíveis no Security Command Center
Se você usa o Security Command Center, pode receber ações sensíveis como descobertas pelo Serviço de ações sensíveis.
Embora os registros de ações sensíveis e as notificações consultivas ofereçam uma visão do comportamento da conta na sua organização, o Security Command Center oferece mais insights e recursos de gerenciamento para equipes de segurança que protegem cargas de trabalho e ambientes mais complexos, grandes ou importantes. Recomendamos monitorar ações sensíveis como parte da sua estratégia geral de monitoramento de segurança.
Para mais informações sobre o Security Command Center, consulte:
Preços
As notificações de ações sensíveis nas notificações consultivas são fornecidas sem custo adicional. Os registros de ações sensíveis no Cloud Logging geram custos de ingestão e armazenamento de acordo com os preços do Logging. O volume de entradas de registro de ações sensíveis depende da frequência com que as contas de usuário da sua organização realizam essas ações. Essas ações geralmente são incomuns.
Tipos de ações sensíveis
Google Cloud informa sobre os seguintes tipos de ações sensíveis.
Sensitive Roles Added
Um principal com um papel de Proprietário (roles/owner) ou Editor (roles/editor)
do IAM foi concedido no nível da organização. Essas funções permitem um grande número de ações em toda a organização.
Billing Admin Removed
Um papel do IAM de administrador da conta de faturamento (roles/billing.admin) foi removido no nível da organização. A remoção dessa função pode impedir que os usuários tenham visibilidade e fornecer um mecanismo para que um adversário permaneça sem ser detectado.
Organization Policy Changed
Uma política da organização foi criada, atualizada ou excluída no nível da organização. As políticas da organização nesse nível podem afetar a segurança de todos osGoogle Cloud recursos da sua organização.
Project-level SSH Key Added
Uma chave SSH no nível do projeto foi adicionada a um projeto Google Cloud que não tinha uma chave desse tipo antes. As chaves SSH no nível do projeto podem conceder acesso a todas as máquinas virtuais (VMs) do projeto.
GPU Instance Created
Uma VM com uma GPU foi criada em um projeto por uma pessoa que não havia criado uma instância de GPU nesse projeto recentemente. As instâncias do Compute Engine com GPUs podem hospedar cargas de trabalho, como mineração de criptomoedas.
Many Instances Created
Várias instâncias de VM foram criadas por um usuário em um determinado projeto. Um grande número de instâncias de VM pode ser usado para cargas de trabalho inesperadas, como mineração de criptomoedas ou ataques de negação de serviço.
Many Instances Deleted
Várias instâncias de VM foram excluídas por um usuário em um determinado projeto. Um grande número de exclusões de instâncias pode interromper seus negócios.
A seguir
- Saiba como ver notificações.
- Saiba como responder às notificações de ações sensíveis.
- Saiba como ativar ou desativar as notificações.