Ringkasan Layanan Tindakan Sensitif

Halaman ini memberikan ringkasan Sensitive Actions Service, layanan bawaan Security Command Center yang mendeteksi saat tindakan dilakukan di organisasi, folder, dan project Anda yang dapat merusak bisnis Anda jika dilakukan oleh pelaku berbahaya. Google Cloud

Dalam sebagian besar kasus, tindakan yang terdeteksi oleh Layanan Tindakan Sensitif tidak mewakili ancaman, karena dilakukan oleh pengguna yang sah untuk tujuan yang sah. Namun, Layanan Tindakan Sensitif tidak dapat menentukan keabsahan secara meyakinkan, jadi Anda mungkin perlu menyelidiki temuan sebelum dapat memastikan bahwa temuan tersebut tidak mewakili ancaman.

Cara kerja Layanan Tindakan Sensitif

Layanan Tindakan Sensitif secara otomatis memantau semua log audit Aktivitas Admin organisasi Anda untuk menemukan tindakan sensitif. Log audit Aktivitas Admin selalu aktif, sehingga Anda tidak perlu mengaktifkan atau mengonfigurasinya.

Saat mendeteksi tindakan sensitif yang dilakukan oleh Akun Google, Sensitive Actions Service akan menulis temuan ke Security Command Center di konsol Google Cloud dan entri log ke log Google Cloud platform.

Temuan Sensitive Actions Service diklasifikasikan sebagai pengamatan dan dapat dilihat menurut kelas temuan atau sumber temuan di tab Temuan di konsol Security Command Center.

Pembatasan

Bagian berikut menjelaskan batasan yang berlaku untuk Layanan Tindakan Sensitif.

Dukungan akun

Deteksi Layanan Tindakan Sensitif terbatas pada tindakan yang dilakukan oleh akun pengguna.

Pembatasan enkripsi dan residensi data

Untuk mendeteksi tindakan sensitif, Layanan Tindakan Sensitif harus dapat menganalisis log audit Aktivitas Admin organisasi Anda.

Jika organisasi Anda mengenkripsi log Anda menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) untuk mengenkripsi log Anda, Layanan Tindakan Sensitif tidak dapat membaca log Anda dan, akibatnya, tidak dapat memberi tahu Anda saat tindakan sensitif terjadi.

Tindakan sensitif tidak dapat dideteksi jika Anda telah mengonfigurasi lokasi bucket log untuk Log Audit Aktivitas Admin Anda agar berada di lokasi selain lokasi global. Misalnya, jika Anda telah menentukan lokasi penyimpanan untuk bucket log di project, folder, atau organisasi tertentu, log dari project, folder, atau organisasi tersebut tidak dapat dipindai untuk menemukan tindakan sensitif._Required

Temuan Layanan Tindakan Sensitif

Tabel berikut menunjukkan kategori temuan yang dapat dihasilkan oleh Layanan Tindakan Sensitif. Nama tampilan untuk setiap temuan dimulai dengan taktik MITRE ATT&CK yang dapat digunakan untuk tindakan yang terdeteksi.

Nama tampilan Nama API Deskripsi
Defense Evasion: Organization Policy Changed change_organization_policy

Kebijakan organisasi tingkat organisasi telah dibuat, diperbarui, atau dihapus, di organisasi yang sudah berusia lebih dari 10 hari.

Temuan ini tidak tersedia untuk aktivasi level project.
Defense Evasion: Remove Billing Admin remove_billing_admin Peran IAM administrator penagihan tingkat organisasi dihapus, di organisasi yang sudah berusia lebih dari 10 hari.
Impact: GPU Instance Created gpu_instance_created Instance GPU dibuat, dengan principal yang membuat belum membuat instance GPU di project yang sama baru-baru ini.
Impact: Many Instances Created many_instances_created Banyak instance dibuat dalam project oleh prinsipal yang sama dalam satu hari.
Impact: Many Instances Deleted many_instances_deleted Banyak instance dihapus dalam project oleh prinsipal yang sama dalam satu hari.
Persistence: Add Sensitive Role add_sensitive_role

Peran IAM tingkat organisasi yang sensitif atau memiliki hak istimewa tinggi diberikan di organisasi yang sudah berusia lebih dari 10 hari.

Temuan ini tidak tersedia untuk aktivasi level project.
Persistence: Project SSH Key Added add_ssh_key Kunci SSH tingkat project dibuat di project, untuk project yang sudah ada lebih dari 10 hari.

Langkah berikutnya