Auf dieser Seite erhalten Sie einen Überblick über den Sensitive Actions Service, einen integrierten Dienst von Security Command Center, der erkennt, wenn in Ihrer Google Cloud-Organisation, Ihren Ordnern und Projekten Aktionen ausgeführt werden, die Ihrem Unternehmen schaden könnten, wenn sie von einem böswilligen Akteur ausgeführt werden.
In den meisten Fällen stellen die Aktionen, die vom Dienst für vertrauliche Aktionen erkannt werden, keine Bedrohungen dar, da sie von legitimen Nutzern zu legitimen Zwecken ausgeführt werden. Der Dienst für sensible Aktionen kann jedoch nicht endgültig feststellen, ob eine Aktion legitim ist. Sie müssen die Ergebnisse daher möglicherweise untersuchen, bevor Sie sicher sein können, dass sie keine Bedrohung darstellen.
So funktioniert der Sensitive Actions Service
Der Sensitive Actions Service überwacht automatisch alle Audit-Logs zur Administratoraktivität Ihrer Organisation auf sensible Aktionen. Audit-Logs zur Administratoraktivität sind immer aktiviert, sodass Sie sie nicht aktivieren oder anderweitig konfigurieren müssen.
Wenn der Sensitive Actions Service eine vertrauliche Aktion erkennt, die von einem Google-Konto ausgeführt wird, schreibt der Sensitive Actions Service ein Ergebnis in Security Command Center in der Google Cloud -Konsole und einen Logeintrag in die Google Cloud -Plattformlogs.
Ergebnisse des Sensitive Actions Service werden als Beobachtungen klassifiziert und können auf dem Tab Ergebnisse in der Security Command Center Console nach Ergebnisklasse oder Ergebnisquelle aufgerufen werden.
Beschränkungen
In den folgenden Abschnitten werden Einschränkungen beschrieben, die für den Dienst für vertrauliche Aktionen gelten.
Kontosupport
Die Erkennung durch den Sensitive Actions Service ist auf Aktionen beschränkt, die von Nutzerkonten ausgeführt werden.
Verschlüsselung und Einschränkungen für den Datenstandort
Damit der Sensitive Actions Service sensible Aktionen erkennen kann, muss er die Audit-Logs zu Administratoraktivitäten Ihrer Organisation analysieren können.
Wenn Ihre Organisation Ihre Logs mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) verschlüsselt, kann der Dienst für vertrauliche Aktionen Ihre Logs nicht lesen und Sie daher nicht benachrichtigen, wenn vertrauliche Aktionen ausgeführt werden.
Sensible Aktionen können nicht erkannt werden, wenn Sie den Speicherort des Log-Buckets für Ihre Audit-Logs zur Administratoraktivität auf einen anderen Ort als global konfiguriert haben. Wenn Sie beispielsweise einen Speicherort für den _Required-Logs-Bucket in einem bestimmten Projekt, Ordner oder einer bestimmten Organisation angegeben haben, können Logs aus diesem Projekt, Ordner oder dieser Organisation nicht auf vertrauliche Aktionen gescannt werden.
Ergebnisse des Sensitive Actions Service
In der folgenden Tabelle sind die Ergebniskategorien aufgeführt, die vom Sensitive Actions Service generiert werden können. Der Anzeigename für jedes Ergebnis beginnt mit der MITRE ATT&CK-Taktik, für die die erkannte Aktion verwendet werden könnte.
| Anzeigename | API-Name | Beschreibung |
|---|---|---|
Defense Evasion: Organization Policy Changed |
change_organization_policy |
Eine Organisationsrichtlinie auf Organisationsebene wurde in einer Organisation, die älter als 10 Tage ist, erstellt, aktualisiert oder gelöscht. Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. |
Defense Evasion: Remove Billing Admin |
remove_billing_admin |
Die IAM-Rolle „Abrechnungsadministrator“ auf Organisationsebene wurde in einer Organisation entfernt, die älter als 10 Tage ist. |
Impact: GPU Instance Created |
gpu_instance_created |
Eine GPU-Instanz wurde erstellt, wobei der Ersteller in letzter Zeit keine GPU-Instanz im selben Projekt erstellt hat. |
Impact: Many Instances Created |
many_instances_created |
Es wurden viele Instanzen in einem Projekt vom selben Verantwortlichen an einem Tag erstellt. |
Impact: Many Instances Deleted |
many_instances_deleted |
Viele Instanzen wurden in einem Projekt am selben Tag vom selben Rechtssubjekt gelöscht. |
Persistence: Add Sensitive Role |
add_sensitive_role |
In einer Organisation, die älter als 10 Tage ist, wurde eine vertrauliche oder hochprivilegierte IAM-Rolle auf Organisationsebene gewährt. Dieses Ergebnis ist für Aktivierungen auf Projektebene nicht verfügbar. |
Persistence: Project SSH Key Added |
add_ssh_key |
Ein SSH-Schlüssel auf Projektebene wurde in einem Projekt erstellt, das älter als 10 Tage ist. |
Nächste Schritte
- Informationen zur Verwendung des Sensitive Actions Service
- Bedrohungen untersuchen und Reaktionspläne entwickeln