Questa pagina fornisce una panoramica del servizio Azioni sensibili, un servizio integrato di Security Command Center che rileva quando vengono intraprese azioni nelle organizzazioni, nelle cartelle e nei progetti Google Cloud che potrebbero danneggiare la tua attività se intraprese da un attore malintenzionato.
Nella maggior parte dei casi, le azioni rilevate dal Servizio per le azioni sensibili non rappresentano minacce, perché vengono intraprese da utenti legittimi per scopi legittimi. Tuttavia, il Servizio per azioni sensibili non può determinare in modo definitivo la legittimità, pertanto potresti dover esaminare i risultati prima di poterti accertare che non rappresentano una minaccia.
Come funziona il Servizio di azioni sensibili
Il servizio Azioni sensibili monitora automaticamente tutti gli audit log delle attività amministrative della tua organizzazione per le azioni sensibili. Gli audit log per le attività di amministrazione sono sempre attivi, quindi non è necessario attivarli o configurarli in altro modo.
Quando il servizio Azioni sensibili rileva un'azione sensibile intrapresa da un account Google, il servizio Azioni sensibili scrive un rilevamento in Security Command Center nella console Google Cloud e una voce di log nei log della piattaforma Google Cloud.
I risultati del servizio di azioni sensibili sono classificati come osservazioni e possono essere visualizzati in base alla classe o all'origine del risultato nella scheda Risultati della console Security Command Center.
Limitazioni
Le seguenti sezioni descrivono le limitazioni che si applicano al Servizio di azioni sensibili.
Assistenza per l'account
Il rilevamento del servizio Azioni sensibili è limitato alle azioni intraprese dagli account utente.
Restrizioni relative alla crittografia e alla residenza dei dati
Per rilevare le azioni sensibili, il servizio Azioni sensibili deve essere in grado di analizzare i log di controllo delle attività amministrative della tua organizzazione.
Se la tua organizzazione cripta i log utilizzando chiavi di crittografia gestite dal cliente (CMEK), il Servizio azioni sensibili non può leggerli e, di conseguenza, non può avvisarti quando si verificano azioni sensibili.
Le azioni sensibili non possono essere rilevate se hai configurato la posizione del bucket dei log per i log di controllo delle attività di amministrazione in una posizione diversa dalla posizione global. Ad esempio, se hai specificato una posizione di archiviazione per il bucket dei log _Required in un determinato progetto, cartella o organizzazione, i log di quel progetto, cartella o organizzazione non possono essere analizzati per rilevare azioni sensibili.
Risultati del servizio Azioni sensibili
La seguente tabella mostra le categorie di risultati che il Servizio per azioni sensibili può produrre. Il nome visualizzato di ogni rilevamento inizia con la tattica MITRE ATT&CK per la quale l'azione rilevata potrebbe essere utilizzata.
| Nome visualizzato | Nome API | Descrizione |
|---|---|---|
Defense Evasion: Organization Policy Changed |
change_organization_policy |
È stato creato, aggiornato o eliminato un criterio dell'organizzazione a livello di organizzazione in un'organizzazione di oltre 10 giorni fa. Questo risultato non è disponibile per le attivazioni a livello di progetto. |
Defense Evasion: Remove Billing Admin |
remove_billing_admin |
Un ruolo IAM di amministratore della fatturazione a livello di organizzazione è stato rimosso in un'organizzazione che esiste da più di 10 giorni. |
Impact: GPU Instance Created |
gpu_instance_created |
È stata creata un'istanza GPU in cui il principale che l'ha creata non ha creato di recente un'istanza GPU nello stesso progetto. |
Impact: Many Instances Created |
many_instances_created |
Molte istanze sono state create in un progetto dallo stesso proprietario in un giorno. |
Impact: Many Instances Deleted |
many_instances_deleted |
Molte istanze sono state eliminate in un progetto dallo stesso proprietario in un giorno. |
Persistence: Add Sensitive Role |
add_sensitive_role |
È stato concesso un ruolo IAM a livello di organizzazione sensibile o con privilegi elevati in un'organizzazione creata da più di 10 giorni. Questo risultato non è disponibile per le attivazioni a livello di progetto. |
Persistence: Project SSH Key Added |
add_ssh_key |
È stata creata una chiave SSH a livello di progetto per un progetto attivo da più di 10 giorni. |
Passaggi successivi
- Scopri di più sull'utilizzo di Sensitive Actions Service.
- Scopri come indagare e sviluppare piani di risposta alle minacce.