このページでは、Security Command Center の組み込みサービスである Sensitive Actions Service の概要について説明します。このサービスは Google Cloud組織、フォルダ、プロジェクトで、悪意のある行為者により実行されるとビジネスに損害を与える可能性のあるアクションを検出します。
Sensitive Actions Service で検出されるアクションのほとんどは、正規のユーザーにより正当な目的で実行されるものであり、脅威となるものではありません。ただし、Sensitive Actions Service が正しい判定を行うとは限りません。検出結果を調査して検出結果が脅威でないことを確認する必要があります。
Sensitive Actions Service の仕組み
Sensitive Actions Service は、組織の管理アクティビティ監査ログに記録された機密情報に関する操作を自動的にモニタリングします。管理アクティビティ監査ログは常時有効になっているため、このログを有効にしたり、構成したりする必要はありません。
Sensitive Actions Service は Google アカウントによって機密情報に関する操作が実行されたことを検出すると、検出結果を Google Cloud コンソールの Security Command Center に書き込み、ログエントリを Google Cloud プラットフォームのログに書き込みます。
Sensitive Actions Service の検出結果は「観察」に分類され、Security Command Center コンソールの [検出結果] タブの検出結果クラスまたは検出結果ソースで確認できます。
制限事項
以降のセクションでは、Sensitive Actions Service に適用される制限事項について説明します。
アカウント サポート
Sensitive Actions Service の検出対象は、ユーザー アカウントによって実行されるアクションに限定されます。
暗号化とデータ所在地の制限
機密情報に関する操作を検出するには、Sensitive Actions Service が組織の管理アクティビティ監査ログを分析できる必要があります。
組織で顧客管理の暗号鍵(CMEK)を使用してログを暗号化している場合、Sensitive Actions Service はログを読み取ることができないため、機密情報に関する操作が発生してもアラートを送信できません。
管理アクティビティ監査ログのログバケットのロケーションを global ロケーション以外に構成している場合、機密情報に関する操作は検出できません。たとえば、特定のプロジェクト、フォルダ、組織の _Required ログバケットのストレージのロケーションを指定している場合、そのプロジェクト、フォルダ、組織のログで機密情報に関する操作をスキャンできません。
Sensitive Actions Service の検出結果
次の表に、Sensitive Actions Service で生成される検出結果のカテゴリを示します。各検出結果の表示名は、検出されたアクションに使用できる MITRE ATT&CK 戦術で始まります。
| 表示名 | API 名 | 説明 |
|---|---|---|
Defense Evasion: Organization Policy Changed |
change_organization_policy |
10 日以上経過した組織で、組織レベルの組織ポリシーが作成、更新、削除されました。 プロジェクト レベルで有効にしている場合、この検出結果は利用できません。 |
Defense Evasion: Remove Billing Admin |
remove_billing_admin |
10 日以上経過した組織で、組織レベルの課金管理者の IAM ロールが削除されました。 |
Impact: GPU Instance Created |
gpu_instance_created |
GPU インスタンスが作成されましたが、そのプリンシパルは、最近同じプロジェクトで GPU インスタンスを作成していません。 |
Impact: Many Instances Created |
many_instances_created |
同じ日に同じプリンシパルによってプロジェクト内に複数のインスタンスが作成されました。 |
Impact: Many Instances Deleted |
many_instances_deleted |
同じ日に同じプリンシパルによってプロジェクト内の複数のインスタンスが削除されました。 |
Persistence: Add Sensitive Role |
add_sensitive_role |
10 日以上経過した組織で、機密性または権限の高い組織レベルの IAM ロールが付与されました。 プロジェクト レベルで有効にしている場合、この検出結果は利用できません。 |
Persistence: Project SSH Key Added |
add_ssh_key |
10 日以上経過したプロジェクトで、プロジェクト レベルの SSH 認証鍵が作成されました。 |
次のステップ
- Sensitive Actions Service の使用方法を学習する。
- 脅威を調査し対応計画を策定する方法を確認する。