En esta página, se proporciona una descripción general del Servicio de acciones sensibles, un servicio integrado de Security Command Center que detecta cuándo se realizan acciones en tu organización, carpetas y proyectos de Google Cloudque podrían ser perjudiciales para tu empresa si las realiza un agente malicioso.
En la mayoría de los casos, las acciones que detecta el Servicio de acciones sensibles no representan amenazas, ya que las realizan usuarios legítimos con fines legítimos. Sin embargo, el Servicio de acciones sensibles no puede determinar de manera concluyente la legitimidad, por lo que es posible que debas investigar los hallazgos antes de asegurarte de que no representan una amenaza.
Cómo funciona el Servicio de acciones sensibles
El servicio de acciones sensibles supervisa automáticamente todos los registros de auditoría de actividad del administrador de tu organización en busca de acciones sensibles. Los registros de auditoría de actividad del administrador siempre están activados, por lo que no es necesario habilitarlos ni configurarlos de ninguna otra manera.
Cuando el Servicio de acciones sensibles detecta una acción sensible que realiza una Cuenta de Google, escribe un resultado en Security Command Center en la consola de Google Cloud y una entrada de registro en los registros de la plataforma deGoogle Cloud .
Los resultados del Servicio de acciones sensibles se clasifican como observaciones y se pueden ver por clase o fuente de resultado en la pestaña Resultados de la consola de Security Command Center.
Restricciones
En las siguientes secciones, se describen las restricciones que se aplican al Servicio de acciones sensibles.
Asistencia de cuenta
La detección del Servicio de acciones sensibles se limita a las acciones realizadas por cuentas de usuario.
Restricciones de encriptación y residencia de datos
Para detectar acciones sensibles, el servicio de acciones sensibles debe poder analizar los registros de auditoría de actividad del administrador de tu organización.
Si tu organización encripta los registros con claves de encriptación administradas por el cliente (CMEK), el Servicio de acciones sensibles no podrá leerlos y, por lo tanto, no podrá alertarte cuando se produzcan acciones sensibles.
Las acciones sensibles no se pueden detectar si configuraste la ubicación del bucket de registros de tus registros de auditoría de actividad del administrador en una ubicación que no sea la ubicación global. Por ejemplo, si especificaste una ubicación de almacenamiento para el bucket de registros de _Required en un proyecto, una carpeta o una organización determinados, no se podrán analizar los registros de ese proyecto, carpeta u organización en busca de acciones sensibles.
Hallazgos del servicio de Acciones sensibles
En la siguiente tabla, se muestran las categorías de resultados que puede generar el Servicio de acciones sensibles. El nombre visible de cada hallazgo comienza con la táctica de MITRE ATT&CK para la que se podría usar la acción detectada.
| Nombre visible | Nombre de la API | Descripción |
|---|---|---|
Defense Evasion: Organization Policy Changed |
change_organization_policy |
Se creó, actualizó o borró una política de la organización a nivel de la organización en una organización con más de 10 días de antigüedad. Este hallazgo no está disponible para las activaciones a nivel del proyecto. |
Defense Evasion: Remove Billing Admin |
remove_billing_admin |
Se quitó un rol de IAM de administrador de facturación a nivel de la organización en una organización con más de 10 días de antigüedad. |
Impact: GPU Instance Created |
gpu_instance_created |
Se creó una instancia de GPU, en la que la entidad principal que la creó no había creado una instancia de GPU en el mismo proyecto recientemente. |
Impact: Many Instances Created |
many_instances_created |
Se crearon muchas instancias en un proyecto por el mismo principal en un día. |
Impact: Many Instances Deleted |
many_instances_deleted |
Se borraron muchas instancias en un proyecto por el mismo principal en un día. |
Persistence: Add Sensitive Role |
add_sensitive_role |
Se otorgó un rol de IAM sensible o con muchos privilegios a nivel de la organización en una organización con más de 10 días de antigüedad. Este hallazgo no está disponible para las activaciones a nivel del proyecto. |
Persistence: Project SSH Key Added |
add_ssh_key |
Se creó una clave SSH a nivel del proyecto en un proyecto que tiene más de 10 días de antigüedad. |
¿Qué sigue?
- Obtén más información para usar Sensitive Actions Service.
- Obtén información para investigar y desarrollar planes de respuesta para las amenazas.