Zum Schutz von Cloud-Umgebungen müssen Identity and Access Management-Konten vor Kompromittierung geschützt werden. Wenn ein privilegiertes Nutzerkonto kompromittiert wird, kann ein Angreifer Änderungen an einer Cloud-Umgebung vornehmen. Daher ist es für die Sicherheit von Organisationen jeder Größe unerlässlich, potenzielle Kompromittierungen zu erkennen. Um Organisationen zu schützen, Google Cloud werden sensible Aktionen protokolliert, die von IAM Nutzerkonten ausgeführt werden. Organisationsadministratoren werden über Advisory Notifications direkt über diese Aktionen benachrichtigt.
Sensible Aktionen sind Aktionen, die erhebliche negative Auswirkungen auf Ihre Google Cloud Organisation haben können, wenn sie von einem böswilligen Akteur mit einem kompromittierten Konto ausgeführt werden. Diese Aktionen stellen an sich keine Bedrohung für Ihre Organisation dar und deuten nicht darauf hin, dass ein Konto kompromittiert wurde. Wir empfehlen jedoch, zu bestätigen, dass die Aktionen von Ihren Nutzern zu legitimen Zwecken ausgeführt wurden.
Wer erhält Benachrichtigungen zu sensiblen Aktionen?
Google Cloud benachrichtigt Ihre Organisation über sensible Aktionen, indem eine E‑Mail-Benachrichtigung an die wichtigen Kontakte auf Organisationsebene für die Sicherheit gesendet wird. Wenn keine wichtigen Kontakte konfiguriert sind, wird die E‑Mail-Benachrichtigung an alle Konten gesendet, die auf Organisationsebene die IAM-Rolle „Organisationsadministrator“ haben.
Google CloudWird deaktiviert
Wenn Sie in Ihrer Organisation keine Benachrichtigungen zu sensiblen Aktionen erhalten möchten, können Sie diese Benachrichtigungen deaktivieren. Weitere Informationen finden Sie unter Benachrichtigungen konfigurieren. Das Deaktivieren von Benachrichtigungen zu sensiblen Aktionen wirkt sich nur auf die Benachrichtigungen aus, die über Advisory Notifications gesendet werden. Logs zu sensiblen Aktionen werden immer generiert und sind vom Deaktivieren von Benachrichtigungen nicht betroffen. Wenn Sie Security Command Center verwenden, ist der Sensitive Actions Service vom Deaktivieren von Benachrichtigungen zu sensiblen Aktionen nicht betroffen.
Funktionsweise von Sensitive Actions
Google Cloud erkennt sensible Aktionen durch Überwachung der Audit-Logs zur Administratoraktivität Ihrer Organisation. Wenn eine sensible Aktion erkannt wird, Google Cloud schreibt die Aktion in das Plattformlog des Sensitive Actions Service in derselben Ressource, in der die Aktivität stattgefunden hat. Google Cloud fügt das Ereignis auch einer Benachrichtigung hinzu, die über Advisory Notifications gesendet wird.
Benachrichtigungshäufigkeit
Wenn in Ihrer Organisation zum ersten Mal eine sensible Aktion beobachtet wird, erhalten Sie einen Bericht mit der ersten Aktion und allen anderen Aktionen, die in der folgenden Stunde ausgeführt werden. Nach dem ersten Bericht erhalten Sie höchstens einmal alle 30 Tage Berichte zu neuen sensiblen Aktionen in Ihrer Organisation. Wenn in Ihrer Organisation seit längerer Zeit keine sensiblen Aktionen ausgeführt wurden, erhalten Sie möglicherweise den Bericht für eine Stunde, wenn das nächste Mal eine sensible Aktion beobachtet wird.
Wann keine Berichte zu sensiblen Aktionen erstellt werden
Google Cloud meldet sensible Aktionen nur, wenn das Hauptkonto, das die Aktion ausführt, ein Nutzerkonto ist. Aktionen, die von einem Dienstkonto ausgeführt werden, werden nicht gemeldet. Google hat diese Funktion entwickelt, um sich vor Angreifern zu schützen, die Zugriff auf Anmeldedaten von Endnutzern erhalten und diese verwenden, um unerwünschte Aktionen in Cloud-Umgebungen auszuführen. Da viele dieser Aktionen für Dienstkonten üblich sind, werden für diese Identitäten keine Logs und Advisory Notifications erstellt.
Sensible Aktionen können nicht erkannt werden, wenn Sie Ihre Audit-Logs zur Administratoraktivität so konfiguriert haben, dass sie in einer bestimmten Region gespeichert werden (d. h. nicht in der Region global). Wenn Sie beispielsweise eine Speicherregion für den Log-Bucket _Required in einer bestimmten Ressource angegeben haben, können Logs aus dieser Ressource nicht auf sensible Aktionen gescannt werden.
Wenn Sie Ihre Audit-Logs zur Administratoraktivität so konfiguriert haben, dass sie mit vom Kunden verwalteten Verschlüsselungsschlüsseln verschlüsselt werden, können Ihre Logs nicht auf sensible Aktionen gescannt werden.
Sensible Aktionen im Security Command Center
Wenn Sie Security Command Center verwenden, können Sie sensible Aktionen als Ergebnisse über den Sensitive Actions Service erhalten.
Die Logs zu sensiblen Aktionen und Advisory Notifications bieten zwar einen Einblick in das Kontoverhalten in Ihrer Organisation, Security Command Center bietet jedoch zusätzliche Einblicke und Verwaltungsfunktionen für Sicherheitsteams, die komplexere, größere oder wichtigere Arbeitslasten und Umgebungen schützen. Wir empfehlen, sensible Aktionen als Teil Ihrer allgemeinen Sicherheitsüberwachungsstrategie zu überwachen.
Weitere Informationen zu Security Command Center finden Sie unter:
Preise
Benachrichtigungen zu sensiblen Aktionen in Advisory Notifications sind kostenlos. Für Logs zu sensiblen Aktionen in Cloud Logging fallen Kosten für die Aufnahme und Speicherung gemäß den Preisen für Logging an. Die Anzahl der Logeinträge zu sensiblen Aktionen hängt davon ab, wie oft Nutzerkonten in Ihrer Organisation sensible Aktionen ausführen. Diese Aktionen sind in der Regel ungewöhnlich.
Arten von sensiblen Aktionen
Google Cloud informiert Sie über die folgenden Arten von sensiblen Aktionen.
Sensitive Roles Added
Einem Hauptkonto mit der IAM-Rolle „Inhaber“ (roles/owner) oder „Bearbeiter“ (roles/editor) wurde auf Organisationsebene Zugriff gewährt. Diese Rollen ermöglichen eine große Anzahl von Aktionen in Ihrer Organisation.
Billing Admin Removed
Die IAM-Rolle „Rechnungskontoadministrator“ (roles/billing.admin) wurde auf Organisationsebene entfernt. Durch das Entfernen dieser Rolle können Nutzer keine Sichtbarkeit mehr haben und ein Angreifer kann unentdeckt bleiben.
Organization Policy Changed
Auf Organisationsebene wurde eine Organisationsrichtlinie erstellt, aktualisiert oder gelöscht. Organisationsrichtlinien auf dieser Ebene können sich auf die Sicherheit aller Ressourcen Ihrer Organisation auswirken.Google Cloud
Project-level SSH Key Added
Einem Google Cloud Projekt, das zuvor keinen solchen Schlüssel hatte, wurde ein SSH-Schlüssel auf Projektebene hinzugefügt. SSH-Schlüssel auf Projektebene können Zugriff auf alle virtuellen Maschinen (VMs) im Projekt gewähren.
GPU Instance Created
In einem Projekt wurde eine VM mit einer GPU von einer Person erstellt, die in diesem Projekt in letzter Zeit keine GPU-Instanz erstellt hat. Auf Compute Engine-Instanzen mit GPUs können Arbeitslasten wie das Mining von Kryptowährungen ausgeführt werden.
Many Instances Created
Mehrere VM-Instanzen wurden von einem Nutzer in einem bestimmten Projekt erstellt. Eine große Anzahl von VM-Instanzen kann für unerwartete Arbeitslasten wie das Mining von Kryptowährungen oder Denial-of-Service-Angriffe verwendet werden.
Many Instances Deleted
Mehrere VM-Instanzen wurden von einem Nutzer in einem bestimmten Projekt gelöscht. Eine große Anzahl von Instanzlöschungen kann Ihr Unternehmen beeinträchtigen.
Nächste Schritte
- Informationen zum Ansehen von Benachrichtigungen .
- Informationen zum Reagieren auf Benachrichtigungen zu sensiblen Aktionen .
- Informationen zum Aktivieren und Deaktivieren von Benachrichtigungen .