本页面概述了敏感操作服务,该服务是 Security Command Center 的内置服务,可检测何时在您的 Google Cloud 组织、文件夹和项目中执行了可能会损害您的业务的操作(如果这些操作是由恶意操作者执行的)。
在大多数情况下,Sensitive Actions Service 检测到的操作不代表威胁,因为这些操作是由合法用户出于合法目的而执行的。但是,Sensitive Actions Service 无法最终确定合法性,因此您可能需要调查发现结果,然后才能确定它们不代表威胁。
Sensitive Actions Service 工作原理
Sensitive Actions Service 会自动监控组织的所有管理员活动审核日志中是否存在敏感操作。管理员活动审核日志始终处于启用状态,因此您无需启用或以其他方式进行配置。
敏感操作服务检测到由 Google 账号执行的敏感操作时,会将发现结果写入 Google Cloud 控制台中的 Security Command Center 并将一项日志条目写入 Google Cloud Platform 日志。
敏感操作服务发现结果归类为观察,并且可以在 Security Command Center 控制台的发现结果标签页上通过查找类别或来源进行查看。
限制
以下部分介绍了敏感操作服务所适用的限制。
账号支持
敏感操作服务检测仅针对用户账号执行的操作进行。
加密和数据驻留限制
为了检测敏感操作,Sensitive Actions Service 必须能够分析贵组织的管理员活动审核日志。
如果贵组织使用客户管理的加密密钥 (CMEK) 对日志进行加密,敏感操作服务将无法读取您的日志,因此在发生敏感操作时也无法向您发出提醒。
如果您将管理员活动审核日志的日志存储桶位置配置为 global
位置以外的位置,则无法检测敏感操作。例如,如果您已为某个项目、文件夹或组织中的 _Required
日志存储桶指定了存储位置,则系统无法扫描该项目、文件夹或组织中的日志以查找敏感操作。
Sensitive Actions Service 发现结果
下表显示了 Sensitive Actions Service 可以生成的发现结果类别。每个发现结果的显示名称都以检测的操作可用于的 MITRE ATT&CK 策略开头。
显示名称 | API 名称 | 说明 |
---|---|---|
Defense Evasion: Organization Policy Changed |
change_organization_policy |
组织级层的组织政策是在超过 10 天前的组织中创建、更新或删除的。 此发现结果不适用于项目级激活。 |
Defense Evasion: Remove Billing Admin |
remove_billing_admin |
移除了超过 10 天前的组织中的组织级层结算管理员 IAM 角色。 |
Impact: GPU Instance Created |
gpu_instance_created |
创建了 GPU 实例,但创建实例的正文最近未在同一项目中创建 GPU 实例。 |
Impact: Many Instances Created |
many_instances_created |
同一项目负责人在一天内在项目中创建了多个实例。 |
Impact: Many Instances Deleted |
many_instances_deleted |
同一项目负责人在一天内删除了多个实例。 |
Persistence: Add Sensitive Role |
add_sensitive_role |
已在超过 10 天前的组织中授予敏感或高度特权的组织级层 IAM 角色。 此发现结果不适用于项目级激活。 |
Persistence: Project SSH Key Added |
add_ssh_key |
项目级 SSH 密钥已在超过 10 天前的项目中创建。 |
后续步骤
- 了解如何使用敏感操作服务。
- 了解如何调查和制定威胁响应方案。