Descripción general del servicio de acciones sensibles

En esta página, se proporciona una descripción general del Servicio de acciones sensibles, un servicio integrado de Security Command Center, que detecta cuándo se realizan acciones en tu instancia de Google Cloud organización, carpetas y proyectos que podrían ser perjudiciales para tu negocio si que son tomadas por un agente malicioso.

En la mayoría de los casos, las acciones que detecta el servicio de acciones sensibles no representan amenazas, porque son tomadas por usuarios legítimos con fines legítimos. Sin embargo, el Servicio de acciones sensibles no puede determinar la legitimidad de manera concluyente, por lo que tal vez debas investigar el los hallazgos antes de que pueda estar seguro de que no representan una amenaza.

Cómo funciona el servicio de acciones sensibles

El servicio de acciones sensibles supervisa automáticamente Registros de auditoría de actividad del administrador para realizar acciones sensibles. Los Registros de auditoría de actividad del administrador no será necesario que los habilite ni configure de otra manera.

Cuando el servicio de acciones sensibles detecta una acción sensible que realiza un Cuenta de Google, Servicio de acciones sensibles escribe un hallazgo en Security Command Center en la consola de Google Cloud y una entrada de registro en Google Cloud Platform los registros del sistema.

Los resultados del Servicio de acciones sensibles se clasifican como observaciones y pueden Para verlos, busca la clase o la fuente en la pestaña Hallazgos de la Consola de Security Command Center.

Restricciones

En las siguientes secciones, se describen las restricciones que se aplican al servicio de acciones sensibles.

Asistencia de cuenta

La detección del servicio de acciones sensibles se limita a las acciones que realiza el usuario cuentas de servicio.

Restricciones de encriptación y residencia de datos

Para detectar acciones sensibles, el servicio de acciones sensibles debe poder analizar los registros de auditoría de actividad del administrador de tu organización

Si tu organización encripta tus registros con encriptación administrada por el cliente (CMEK) para encriptar tus registros, el servicio de acciones sensibles no puede leerlos y, por lo tanto, no puede alertarte cuando ocurren acciones sensibles.

No se pueden detectar acciones sensibles si configuraste la ubicación del de bucket de registros para que tus Registros de auditoría de actividad de administrador estén en otra ubicación que la ubicación global. Por ejemplo, si especificaste un espacio de ubicación de _Required bucket de registros en un determinado proyecto, organización o carpeta, proyecto, organización o carpeta en busca de acciones sensibles.

Hallazgos del Servicio de acciones sensibles

En la siguiente tabla, se muestran las categorías de hallazgos para las que el servicio de acciones sensibles puede producir. El nombre visible de cada hallazgo comienza con el símbolo MITRE Táctica ATT&CK para el que se podría usar la acción detectada.

Nombre visible Nombre de la API Descripción
Defense Evasion: Organization Policy Changed change_organization_policy

Se creó, actualizó una política de la organización o borrarse, en una organización con más de 10 días de antigüedad.

Este hallazgo no está disponible para activaciones a nivel de proyecto.

Defense Evasion: Remove Billing Admin remove_billing_admin En una organización que tiene más de 10 días de antigüedad, se quitó un rol de IAM de administrador de facturación a nivel de la organización.
Impact: GPU Instance Created gpu_instance_created Se creó una instancia de GPU, en la que la principal no se creó recientemente creaste una instancia de GPU en el mismo proyecto.
Impact: Many Instances Created many_instances_created Muchas instancias fueron creadas por el mismo proyecto principal en un día.
Impact: Many Instances Deleted many_instances_deleted La misma dirección borró muchas instancias de un proyecto principal en un día.
Persistence: Add Sensitive Role add_sensitive_role

Un IAM a nivel de organización sensible o con muchos privilegios se otorgó en una organización con más de 10 días de antigüedad.

Este hallazgo no está disponible para activaciones a nivel de proyecto.

Persistence: Project SSH Key Added add_ssh_key Se creó una clave SSH a nivel de proyecto en un proyecto para un proyecto que tenga más de 10 días de antigüedad.

¿Qué sigue?