כדי להגן על סביבות ענן, צריך להגן על חשבונות של ניהול זהויות והרשאות גישה (IAM) מפני פריצה. פריצה לחשבון משתמש עם הרשאות מאפשרת לתוקף לבצע שינויים בסביבת ענן, ולכן זיהוי פריצות פוטנציאליות חיוני לאבטחת ארגונים בכל הגדלים. כדי לעזור לארגונים לשמור על אבטחה, Google Cloud מתעד פעולות רגישות שבוצעו על ידי חשבונות משתמשים ב-IAM, ושולח הודעות ישירות לאדמינים בארגון על הפעולות האלה באמצעות התראות מייעצות.
פעולות רגישות הן פעולות שיכולות להשפיע באופן שלילי משמעותי על הארגון שלכם אם הן מבוצעות על ידי גורם זדוני שמשתמש בחשבון שנפרץ. Google Cloud הפעולות האלה כשלעצמן לא בהכרח מייצגות איום על הארגון או מצביעות על כך שחשבון נפרץ. עם זאת, מומלץ לוודא שהמשתמשים ביצעו את הפעולות האלה למטרות לגיטימיות.
מי מקבל התראות על פעולות רגישות
Google Cloud שולח לארגון התראות על פעולות רגישות באימייל לאנשי הקשר החיוניים ברמת הארגון, לצורך אבטחה. אם לא הוגדרו אנשי קשר חיוניים, הודעת האימייל נשלחת לכל החשבונות שיש להם תפקיד אדמין ארגוני ב-IAM ברמת הארגון.
ביטול ההסכמה
אם אתם לא רוצים לקבל התראות על פעולות רגישות בארגון, אתם יכולים לבטל את ההרשמה לקבלת ההתראות האלה. מידע נוסף מופיע במאמר בנושא הגדרת התראות. ביטול ההסכמה לקבלת התראות על פעולות רגישות משפיע רק על ההתראות שמתקבלות דרך התראות אזהרה. יומני פעולות רגישות נוצרים תמיד, ולא מושפעים מביטול ההסכמה לקבלת התראות. אם אתם משתמשים ב-Security Command Center, ביטול ההסכמה לקבלת התראות על פעולות רגישות לא משפיע על השירות של פעולות רגישות.
איך פועלות פעולות רגישות
Google Cloud מזהה פעולות רגישות על ידי מעקב אחרי יומני הביקורת Admin Activity של הארגון. כשמזוהה פעולה רגישה, Google Cloud כותבת את הפעולה ביומן הפלטפורמה של שירות הפעולות הרגישות באותו משאב שבו התרחשה הפעילות. Google Cloud כוללת גם את האירוע בהתראה שנשלחת דרך התראות מייעצות.
תדירות התראות
בפעם הראשונה שמתבצעת פעולה רגישה בארגון, תקבלו דוח שכולל את הפעולה הראשונית וגם פעולות אחרות שמתבצעות בשעה שלאחר מכן. אחרי הדוח הראשוני, תקבלו דוחות על פעולות רגישות חדשות בארגון שלכם, פעם אחת לכל היותר בכל 30 יום. אם לא בוצעו פעולות רגישות בארגון שלכם במשך זמן רב, יכול להיות שתקבלו את הדוח של שעה אחת בפעם הבאה שתזוהה פעולה רגישה.
מתי לא נוצרות פעולות רגישות
Google Cloud מדווח על פעולות רגישות רק אם הגורם המבצע הוא חשבון משתמש. לא מדווח על פעולות שבוצעו על ידי חשבון שירות. Google פיתחה את היכולת הזו כדי להגן מפני גורמים עוינים שמשיגים גישה לפרטי הכניסה של משתמשי קצה ומשתמשים בהם כדי לבצע פעולות לא רצויות בסביבות ענן. מכיוון שרבות מהפעולות האלה הן התנהגות נפוצה בחשבונות שירות, לא נוצרים יומנים והתראות מייעצות עבור הזהויות האלה.
כדי לעזור לצוותים המתאימים לקבל במהירות התראות קריטיות בקטגוריה 'אבטחה', צריך להגדיר אנשי קשר בהתאמה אישית באמצעות Essential Contacts.
לא ניתן לזהות פעולות רגישות אם הגדרתם שיומני הביקורת של פעילות האדמין ימוקמו באזור ספציפי (כלומר, לא באזור global). לדוגמה, אם ציינתם אזור אחסון לקטגוריית היומנים _Required במשאב מסוים, לא ניתן לסרוק את היומנים מהמשאב הזה כדי למצוא פעולות רגישות.
אם הגדרתם את יומני הביקורת Admin Activity כך שיוצפנו באמצעות מפתחות הצפנה בניהול הלקוח, לא ניתן לסרוק את היומנים כדי למצוא פעולות רגישות.
פעולות רגישות ב-Security Command Center
אם אתם משתמשים ב-Security Command Center, אתם יכולים לקבל את הממצאים של Sensitive Actions דרך Sensitive Actions Service.
יומני הרישום של פעולות רגישות וההתראות המייעצות מספקים תמונה של התנהלות החשבון בארגון, אבל Security Command Center מספק תובנות נוספות ויכולות ניהול לצוותי אבטחה שמגנים על עומסי עבודה וסביבות מורכבים, גדולים או חשובים יותר. מומלץ לעקוב אחרי פעולות רגישות כחלק מהאסטרטגיה הכוללת שלכם למעקב אחרי אבטחה.
מידע נוסף על Security Command Center:
תמחור
ההתראות על פעולות רגישות בהתראות מייעצות ניתנות ללא עלות נוספת. יומנים של פעולות רגישות ב-Cloud Logging כרוכים בעלויות של קליטה ואחסון בהתאם לתמחור של Logging. הנפח של רשומות היומן של פעולות רגישות תלוי בתדירות שבה חשבונות משתמשים בארגון שלכם מבצעים פעולות רגישות. בדרך כלל מדובר בפעולות לא שגרתיות.
סוגים של פעולות רגישות
Google Cloud מודיע לכם על הפעולות הרגישות מהסוגים הבאים.
Sensitive Roles Added
לחשבון המשתמש הוקצה תפקיד ב-IAM ברמת הארגון: בעלים (roles/owner) או עורך (roles/editor). התפקידים האלה מאפשרים לבצע מספר רב של פעולות בארגון.
Billing Admin Removed
התפקיד "Billing Account Administrator" (roles/billing.admin) ב-IAM הוסר ברמת הארגון. הסרת התפקיד הזה יכולה למנוע ממשתמשים לראות את פעילות החיוב, ולספק למתנגד מנגנון שיאפשר לו להישאר בלתי מזוהה.
Organization Policy Changed
מדיניות הארגון נוצרה, עודכנה או נמחקה ברמת הארגון. מדיניות הארגון ברמה הזו יכולה להשפיע על האבטחה של כל משאביGoogle Cloud בארגון.
Project-level SSH Key Added
מפתח SSH ברמת הפרויקט נוסף לפרויקט Google Cloud שלא היה לו מפתח כזה קודם. מפתחות SSH ברמת הפרויקט יכולים לתת גישה לכל המכונות הווירטואליות (VM) בפרויקט.
GPU Instance Created
מכונה וירטואלית עם GPU נוצרה בפרויקט על ידי אדם שלא יצר לאחרונה מופע GPU בפרויקט הזה. מכונות Compute Engine עם יחידות GPU יכולות לארח עומסי עבודה כמו כריית מטבעות קריפטוגרפיים.
Many Instances Created
משתמש יצר כמה מכונות וירטואליות בפרויקט מסוים. אפשר להשתמש במספר גדול של מכונות וירטואליות לעומסי עבודה לא צפויים, כמו כריית מטבעות וירטואליים או מתקפות מניעת שירות (DoS).
Many Instances Deleted
משתמש מחק כמה מכונות וירטואליות בפרויקט מסוים. מחיקה של מספר גדול של מופעים עלולה לשבש את הפעילות העסקית שלכם.
המאמרים הבאים
- איך רואים את ההתראות
- איך מגיבים להתראות על פעולות רגישות
- איך נרשמים או מבטלים את ההרשמה לקבלת התראות