Se usó la API de Cloud Translation para traducir esta página.

Descripción general del servicio de Acciones Delicadas

En esta página, se proporciona una descripción general del servicio de acciones sensibles, un servicio integrado de Security Command Center que detecta cuando se realizan acciones en tu organización, carpetas y proyectos de Google Cloud que podrían ser perjudiciales para tu empresa si las realiza un agente malicioso.

En la mayoría de los casos, las acciones que detecta el Servicio de Acciones Delicadas no representan amenazas, ya que las realizan usuarios legítimos con fines legítimos. Sin embargo, el servicio de Acciones Sensibles no puede determinar de forma concluyente la legitimidad, por lo que es posible que debas investigar los resultados antes de asegurarte de que no representen una amenaza.

Cómo funciona el servicio de Acciones sensibles

El servicio de acciones sensibles supervisa automáticamente todos los registros de auditoría de actividad del administrador de tu organización en busca de acciones sensibles. Los registros de auditoría de actividad del administrador siempre están activados, por lo que no es necesario habilitarlos ni configurarlos de otra manera.

Cuando el servicio de Acciones Delicadas detecta una acción delicada que realiza una cuenta de Google, escribe un resultado en Security Command Center en la consola de Google Cloud y una entrada de registro en los registros de la plataforma de Google Cloud.

Los resultados del servicio de acciones sensibles se clasifican como observaciones y se pueden ver por clase de resultado o fuente de resultado en la pestaña Resultados de la consola de Security Command Center.

Restricciones

En las siguientes secciones, se describen las restricciones que se aplican al Servicio de Acciones Delicadas.

Asistencia de cuenta

La detección del servicio de Acciones Delicadas se limita a las acciones que realizan las cuentas de usuario.

Restricciones de encriptación y residencia de datos

Para detectar acciones sensibles, el servicio de acciones sensibles debe poder analizar los registros de auditoría de actividad del administrador de tu organización.

Si tu organización encripta los registros con claves de encriptación administradas por el cliente (CMEK), el servicio de Acciones Delicadas no puede leerlos y, por lo tanto, no puede enviarte alertas cuando se producen acciones sensibles.

No se pueden detectar acciones sensibles si configuraste la ubicación del bucket de registros para que tus registros de auditoría de actividad del administrador estén en una ubicación distinta de la ubicación global. Por ejemplo, si especificaste una ubicación de almacenamiento para el bucket de registros _Required en un proyecto, una carpeta o una organización determinados, no se pueden analizar los registros de ese proyecto, carpeta o organización en busca de acciones sensibles.

Hallazgos del servicio de Acciones sensibles

En la siguiente tabla, se muestran las categorías de resultados que puede generar el servicio de Acciones Delicadas. El nombre visible de cada hallazgo comienza con la táctica de MITRE ATT&CK para la que se podría usar la acción detectada.

Nombre visible	Nombre de la API	Descripción
`Defense Evasion: Organization Policy Changed`	`change_organization_policy`	Se creó, actualizó o borró una política de la organización a nivel de la organización en una organización que tiene más de 10 días. Este hallazgo no está disponible para las activaciones a nivel del proyecto.
`Defense Evasion: Remove Billing Admin`	`remove_billing_admin`	Se quitó un rol de IAM de administrador de facturación a nivel de la organización en una organización que tiene más de 10 días.
`Impact: GPU Instance Created`	`gpu_instance_created`	Se creó una instancia de GPU en la que el principal que la creó no creó una instancia de GPU en el mismo proyecto recientemente.
`Impact: Many Instances Created`	`many_instances_created`	El mismo director creó muchas instancias en un proyecto en un día.
`Impact: Many Instances Deleted`	`many_instances_deleted`	El mismo director borró muchas instancias de un proyecto en un día.
`Persistence: Add Sensitive Role`	`add_sensitive_role`	Se otorgó un rol de IAM sensible o con privilegios elevados a nivel de la organización que tiene más de 10 días. Este hallazgo no está disponible para las activaciones a nivel del proyecto.
`Persistence: Project SSH Key Added`	`add_ssh_key`	Se creó una clave SSH a nivel del proyecto para un proyecto que tiene más de 10 días.

¿Qué sigue?

Obtén información para usar el servicio de acciones sensibles.
Obtén información para investigar y desarrollar planes de respuesta para las amenazas.