Auf dieser Seite erhalten Sie einen Überblick über den Dienst für sensible Aktionen. Dies ist ein integrierter Dienst von Security Command Center, der erkennt, wenn in Ihrer Google Cloud-Organisation, in Ihren Ordnern und in Ihren Projekten Aktionen ausgeführt werden, die für Ihr Unternehmen schädlich sein könnten, wenn sie von einem böswilligen Akteur ausgeführt werden.
In den meisten Fällen stellen die vom Dienst für vertrauliche Aktionen erkannten Aktionen keine Bedrohung dar, da sie von legitimen Nutzern zu legitimen Zwecken ausgeführt werden. Der Dienst für sensible Aktionen kann jedoch nicht mit Sicherheit feststellen, ob die Aktivitäten legitim sind. Daher müssen Sie die Ergebnisse möglicherweise untersuchen, bevor Sie sicher sein können, dass sie keine Bedrohung darstellen.
So funktioniert der Dienst für sensible Aktionen
Der Sensitive Actions Service überwacht automatisch alle Audit-Logs zur Administratoraktivität Ihrer Organisation auf sensible Aktionen. Audit-Logs zu Administratoraktivitäten sind immer aktiviert, sodass Sie sie nicht aktivieren oder anderweitig konfigurieren müssen.
Wenn der Dienst für sensible Aktionen eine sensible Aktion erkennt, die von einem Google-Konto ausgeführt wird, schreibt er eine Meldung in Security Command Center in der Google Cloud Console und einen Logeintrag in die Google Cloud-Plattformprotokolle.
Ergebnisse des Sensitive Actions Service werden als Beobachtungen klassifiziert und können in der Security Command Center Console auf dem Tab Ergebnisse nach Ergebnisklasse oder Ergebnisquelle gefiltert werden.
Beschränkungen
In den folgenden Abschnitten werden Einschränkungen beschrieben, die für den Dienst für sensible Aktionen gelten.
Kontosupport
Die Erkennung durch den Sensitive Actions Service ist auf Aktionen beschränkt, die über Nutzerkonten ausgeführt werden.
Einschränkungen für Verschlüsselung und Datenspeicherort
Damit sensible Aktionen erkannt werden können, muss der Sensitive Actions Service die Audit-Logs zur Administratoraktivität Ihrer Organisation analysieren können.
Wenn Ihre Organisation Ihre Protokolle mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) verschlüsselt, kann der Dienst für sensible Aktionen Ihre Protokolle nicht lesen und Sie daher nicht benachrichtigen, wenn sensible Aktionen auftreten.
Vertrauliche Aktionen können nicht erkannt werden, wenn Sie den Speicherort des Log-Buckets für Ihre Audit-Logs zur Administratoraktivität an einem anderen Ort als global konfiguriert haben. Wenn Sie beispielsweise für den _Required-Logs-Bucket in einem bestimmten Projekt, Ordner oder einer bestimmten Organisation einen Speicherort angegeben haben, können Logs aus diesem Projekt, Ordner oder dieser Organisation nicht auf vertrauliche Aktionen geprüft werden.
Ergebnisse des Sensitive Actions Service
In der folgenden Tabelle sind die Ergebniskategorien aufgeführt, die der Dienst für sensible Aktionen liefern kann. Der Anzeigename für jedes Ergebnis beginnt mit der MITRE ATT&CK-Taktik, für die die erkannte Aktion verwendet werden könnte.
| Anzeigename | API-Name | Beschreibung |
|---|---|---|
Defense Evasion: Organization Policy Changed |
change_organization_policy |
In einer Organisation, die älter als 10 Tage ist, wurde eine Organisationsrichtlinie auf Organisationsebene erstellt, aktualisiert oder gelöscht. Dieser Hinweis ist nicht für Aktivierungen auf Projektebene verfügbar. |
Defense Evasion: Remove Billing Admin |
remove_billing_admin |
In einer Organisation, die älter als 10 Tage ist, wurde eine IAM-Rolle für den Abrechnungsadministrator auf Organisationsebene entfernt. |
Impact: GPU Instance Created |
gpu_instance_created |
Es wurde eine GPU-Instanz erstellt, deren Ersteller in letzter Zeit keine GPU-Instanz im selben Projekt erstellt hat. |
Impact: Many Instances Created |
many_instances_created |
Am selben Tag wurden von derselben Hauptperson viele Instanzen in einem Projekt erstellt. |
Impact: Many Instances Deleted |
many_instances_deleted |
Viele Instanzen wurden in einem Projekt am selben Tag von derselben Hauptperson gelöscht. |
Persistence: Add Sensitive Role |
add_sensitive_role |
Eine sensible oder hochberechtigte IAM-Rolle auf Organisationsebene wurde in einer Organisation gewährt, die älter als 10 Tage ist. Dieser Hinweis ist nicht für Aktivierungen auf Projektebene verfügbar. |
Persistence: Project SSH Key Added |
add_ssh_key |
In einem Projekt wurde ein SSH-Schlüssel auf Projektebene erstellt, der älter als 10 Tage ist. |
Nächste Schritte
- Weitere Informationen zur Verwendung des Sensitive Actions Service
- Weitere Informationen zum Untersuchen und Entwickeln von Reaktionsplänen für Bedrohungen.