Cette page présente le service d'actions sensibles, un service intégré de Security Command Center qui détecte les actions effectuées dans votre organisation, vos dossiers et vos projets qui pourraient nuire à votre entreprise si elles étaient effectuées par une personne malveillante. Google Cloud
Dans la plupart des cas, les actions détectées par le service Actions sensibles ne représentent pas de menaces, car elles sont effectuées par des utilisateurs légitimes à des fins légitimes. Toutefois, le service Actions sensibles ne peut pas déterminer de manière concluante la légitimité d'une action. Vous devrez peut-être examiner les résultats avant de pouvoir être sûr qu'ils ne représentent pas une menace.
Fonctionnement du service d'actions sensibles
Le service des actions sensibles surveille automatiquement tous les journaux d'audit des activités d'administration de votre organisation pour détecter les actions sensibles. Les journaux d'audit pour les activités d'administration sont toujours activés. Vous n'avez donc pas besoin de les activer ni de les configurer.
Lorsque le service Actions sensibles détecte une action sensible effectuée par un compte Google, il écrit un résultat dans Security Command Center dans la console Google Cloud et une entrée de journal dans les journaux de la plate-formeGoogle Cloud .
Les résultats du service Actions sensibles sont classés comme observations. Vous pouvez les afficher par classe ou source de résultat dans l'onglet Résultats de la console Security Command Center.
Restrictions
Les sections suivantes décrivent les restrictions qui s'appliquent au service Actions sensibles.
Assistance pour les comptes
La détection du service d'actions sensibles est limitée aux actions effectuées par les comptes utilisateur.
Restrictions liées au chiffrement et à la résidence des données
Pour détecter les actions sensibles, le service des actions sensibles doit pouvoir analyser les journaux d'audit des activités d'administration de votre organisation.
Si votre organisation chiffre vos journaux à l'aide de clés de chiffrement gérées par le client (CMEK), le service Actions sensibles ne peut pas les lire et, par conséquent, ne peut pas vous alerter lorsque des actions sensibles se produisent.
Les actions sensibles ne peuvent pas être détectées si vous avez configuré l'emplacement du bucket de journaux pour vos journaux d'audit des activités d'administration dans un emplacement autre que global. Par exemple, si vous avez spécifié un emplacement de stockage pour le bucket de journaux _Required dans un projet, un dossier ou une organisation donnés, les journaux de ce projet, de ce dossier ou de cette organisation ne peuvent pas être analysés pour détecter les actions sensibles.
Résultats du service d'actions sensibles
Le tableau suivant présente les catégories de résultats que le service Actions sensibles peut générer. Le nom à afficher de chaque résultat commence par la tactique MITRE ATT&CK à laquelle l'action détectée pourrait être associée.
| Nom à afficher | Nom de l'API | Description |
|---|---|---|
Defense Evasion: Organization Policy Changed |
change_organization_policy |
Une règle d'administration au niveau de l'organisation a été créée, modifiée ou supprimée dans une organisation qui existe depuis plus de 10 jours. Ce résultat n'est pas disponible pour les activations au niveau du projet. |
Defense Evasion: Remove Billing Admin |
remove_billing_admin |
Un rôle IAM d'administrateur de la facturation au niveau de l'organisation a été supprimé dans une organisation de plus de 10 jours. |
Impact: GPU Instance Created |
gpu_instance_created |
Une instance de GPU a été créée, alors que le principal créateur n'en a pas créé récemment dans le même projet. |
Impact: Many Instances Created |
many_instances_created |
Plusieurs instances ont été créées dans un projet par le même principal au cours d'une même journée. |
Impact: Many Instances Deleted |
many_instances_deleted |
De nombreuses instances ont été supprimées dans un projet par le même principal en une journée. |
Persistence: Add Sensitive Role |
add_sensitive_role |
Un rôle IAM sensible ou à privilèges élevés au niveau de l'organisation a été accordé dans une organisation de plus de 10 jours. Ce résultat n'est pas disponible pour les activations au niveau du projet. |
Persistence: Project SSH Key Added |
add_ssh_key |
Une clé SSH au niveau du projet a été créée dans un projet de plus de 10 jours. |
Étapes suivantes
- Découvrez comment utiliser le service Actions sensibles.
- Découvrez comment examiner et développer des plans d'intervention sur les menaces.