Panoramica del servizio Azioni sensibili

Questa pagina fornisce una panoramica di Sensitive Actions Service, un servizio integrato di Security Command Center che rileva quando vengono intraprese azioni nella tua organizzazione, nelle tue cartelle e nei tuoi progetti di Google Cloud che potrebbero danneggiare la tua attività se intraprese da un malintenzionato.

Nella maggior parte dei casi, le azioni rilevate dal servizio Azioni sensibili non rappresentano minacce, perché vengono intraprese da utenti legittimi per scopi legittimi. Tuttavia, il servizio Azioni sensibili non può determinare in modo definitivo la legittimità, quindi potresti dover esaminare i risultati prima di poter essere certo che non rappresentino una minaccia.

Come funziona il servizio Azioni sensibili

Il servizio Azioni sensibili monitora automaticamente tutti gli audit log delle attività amministrative della tua organizzazione per le azioni sensibili. Gli audit log per le attività di amministrazione sono sempre attivi, quindi non devi abilitarli o configurarli in altro modo.

Quando il servizio Azioni sensibili rileva un'azione sensibile intrapresa da un account Google, il servizio Azioni sensibili scrive un risultato in Security Command Center nella console Google Cloud e una voce di log nei log della piattaformaGoogle Cloud .

I risultati del servizio Azioni sensibili sono classificati come osservazioni e possono essere visualizzati in base alla classe o all'origine del risultato nella scheda Risultati della console Security Command Center.

Limitazioni

Le seguenti sezioni descrivono le limitazioni che si applicano al servizio Azioni sensibili.

Assistenza per l'account

Il rilevamento del servizio Azioni sensibili è limitato alle azioni intraprese dagli account utente.

Limitazioni relative a crittografia e residenza dei dati

Per rilevare le azioni sensibili, il servizio Azioni sensibili deve essere in grado di analizzare i log di controllo dell'attività amministratore della tua organizzazione.

Se la tua organizzazione cripta i log utilizzando chiavi di crittografia gestite dal cliente (CMEK), il servizio Azioni sensibili non può leggere i log e, di conseguenza, non può avvisarti quando si verificano azioni sensibili.

Le azioni sensibili non possono essere rilevate se hai configurato la posizione del bucket log per gli audit log delle attività di amministrazione in una posizione diversa da global. Ad esempio, se hai specificato una posizione di archiviazione per il bucket di log _Required in un determinato progetto, cartella o organizzazione, i log di quel progetto, di quella cartella o di quell'organizzazione non possono essere analizzati per rilevare azioni sensibili.

Risultati del servizio Azioni sensibili

La seguente tabella mostra le categorie di risultati che il servizio Azioni sensibili può produrre. Il nome visualizzato di ogni risultato inizia con la tattica MITRE ATT&CK per cui potrebbe essere utilizzata l'azione rilevata.

Nome visualizzato Nome API Descrizione
Defense Evasion: Organization Policy Changed change_organization_policy

È stato creato, aggiornato o eliminato un criterio dell'organizzazione a livello di organizzazione in un'organizzazione con più di 10 giorni.

Questo risultato non è disponibile per le attivazioni a livello di progetto.

Defense Evasion: Remove Billing Admin remove_billing_admin È stato rimosso un ruolo IAM di amministratore della fatturazione a livello di organizzazione in un'organizzazione con più di 10 giorni.
Impact: GPU Instance Created gpu_instance_created È stata creata un'istanza GPU, in cui il principal di creazione non ha creato di recente un'istanza GPU nello stesso progetto.
Impact: Many Instances Created many_instances_created Molte istanze sono state create in un progetto dallo stesso responsabile in un giorno.
Impact: Many Instances Deleted many_instances_deleted Molte istanze sono state eliminate in un progetto dallo stesso principal in un giorno.
Persistence: Add Sensitive Role add_sensitive_role

È stato concesso un ruolo IAM a livello di organizzazione sensibile o con privilegi elevati in un'organizzazione con più di 10 giorni.

Questo risultato non è disponibile per le attivazioni a livello di progetto.

Persistence: Project SSH Key Added add_ssh_key È stata creata una chiave SSH a livello di progetto in un progetto più vecchio di 10 giorni.

Passaggi successivi