敏感動作服務總覽

本頁面提供 Sensitive Actions Service 的總覽。這項服務是 Security Command Center 的內建服務,可偵測在 Google Cloud機構、資料夾和專案中執行的動作,如果這些動作是由惡意行為者執行,可能會對您的業務造成損害。

在大多數情況下,敏感動作服務偵測到的動作並非威脅,因為這些動作是合法使用者基於正當目的而執行。不過,敏感動作服務無法完全確定合法性,因此您可能需要調查結果,才能確定這些結果不代表威脅。

敏感動作服務的運作方式

敏感動作服務會自動監控貴機構的所有管理員活動稽核記錄,管理員活動稽核記錄一律會啟用,因此您不需要啟用或設定這類記錄。

當 Sensitive Actions Service 偵測到Google 帳戶執行的敏感動作時,Sensitive Actions Service 會在 Google Cloud 控制台的 Security Command Center 中寫入發現項目,並在Google Cloud 平台記錄中寫入記錄項目。

Sensitive Actions Service 發現項目會分類為「觀察結果」,並顯示在 Security Command Center 控制台的「發現項目」分頁中,可依發現項目類別或來源查看。

限制

以下各節說明敏感動作服務的適用限制。

帳戶支援

敏感動作服務只能偵測使用者帳戶執行的動作。

加密和資料落地限制

如要偵測敏感操作,敏感操作服務必須能夠分析貴機構的管理員活動稽核記錄

如果貴機構使用客戶自行管理的加密金鑰 (CMEK) 加密記錄,敏感動作服務就無法讀取記錄,因此無法在發生敏感動作時發出快訊。

如果將管理員活動稽核記錄的記錄檔儲存空間位置設為 global 以外的位置,系統就無法偵測到敏感動作。舉例來說,如果您已在特定專案、資料夾或機構中指定記錄檔值區的儲存位置,系統就無法掃描該專案、資料夾或機構的記錄檔,找出敏感動作。_Required

敏感動作服務發現項目

下表列出「敏感動作服務」可產生的發現項目類別。每項發現的顯示名稱開頭都是MITRE ATT&CK 戰術,也就是偵測到的動作可能用於的戰術。

顯示名稱 API 名稱 說明
Defense Evasion: Organization Policy Changed change_organization_policy

在成立超過 10 天的機構中,建立、更新或刪除機構層級的機構政策。

這個發現項目不適用於專案層級的啟用作業。
Defense Evasion: Remove Billing Admin remove_billing_admin 在成立超過 10 天的機構中,機構層級的帳單管理員 IAM 角色遭到移除。
Impact: GPU Instance Created gpu_instance_created 已建立 GPU 執行個體,但建立主體最近未在相同專案中建立 GPU 執行個體。
Impact: Many Instances Created many_instances_created 同一位主體在一天內於專案中建立多個執行個體。
Impact: Many Instances Deleted many_instances_deleted 同一主體在一天內刪除了專案中的許多執行個體。
Persistence: Add Sensitive Role add_sensitive_role

在成立超過 10 天的機構中,授予了機密或高權限的機構層級 IAM 角色。

這個發現項目不適用於專案層級的啟用作業。
Persistence: Project SSH Key Added add_ssh_key 在專案中建立專案層級的安全殼層金鑰,且專案已存在超過 10 天。

後續步驟