בדף הזה מוצג סקירה כללית של Sensitive Actions Service (שירות פעולות רגישות), שירות מובנה של Security Command Center שמזהה מקרים שבהם מתבצעות פעולות ב Google Cloudארגון, בתיקיות ובפרויקטים שלכם, שעלולות לגרום נזק לעסק אם הן מתבצעות על ידי גורם זדוני.
ברוב המקרים, הפעולות שמזוהות על ידי Sensitive Actions Service לא מייצגות איומים, כי הן מבוצעות על ידי משתמשים לגיטימיים למטרות לגיטימיות. עם זאת, שירות הפעולות הרגישות לא יכול לקבוע באופן חד-משמעי אם הפעולה לגיטימית, ולכן יכול להיות שתצטרכו לבדוק את הממצאים כדי לוודא שהם לא מייצגים איום.
איך פועל Sensitive Actions Service
שירות הפעולות הרגישות עוקב באופן אוטומטי אחרי כל יומני הביקורת של פעילות האדמינים בארגון, כדי לזהות פעולות רגישות. יומני הביקורת Admin Activity תמיד מופעלים, כך שלא צריך להפעיל אותם או להגדיר אותם.
כש-Sensitive Actions Service מזהה פעולה רגישה שבוצעה על ידי חשבון Google, הוא כותב ממצא ב-Security Command Center במסוף Google Cloud ורשומה ביומן ביומני הפלטפורמהGoogle Cloud .
הממצאים של שירות הפעולות הרגישות מסווגים כתצפיות, ואפשר לראות אותם לפי סיווג הממצא או מקור הממצא בדף ממצאים במסוף Security Command Center.
הגבלות
בקטעים הבאים מפורטות ההגבלות שחלות על שירות הפעולות הרגישות.
תמיכה בחשבון
הזיהוי של שירות הפעולות הרגישות מוגבל לפעולות שבוצעו על ידי חשבונות משתמשים.
הצפנה והגבלות על מיקום הנתונים
כדי לזהות פעולות רגישות, שירות הפעולות הרגישות צריך להיות מסוגל לנתח את יומני הביקורת Admin Activity של הארגון.
אם הארגון שלכם מצפין את היומנים באמצעות מפתחות הצפנה בניהול הלקוח (CMEK), שירות הפעולות הרגישות לא יכול לקרוא את היומנים, ולכן לא יכול להזהיר אתכם כשמתרחשות פעולות רגישות.
לא ניתן לזהות פעולות רגישות אם הגדרתם את המיקום של קטגוריה ביומן של יומני הביקורת Admin Activity במיקום שאינו המיקום global. לדוגמה, אם ציינתם מיקום אחסון לדלי של יומנים _Required בפרויקט, בתיקייה או בארגון מסוימים, לא ניתן לסרוק את היומנים מאותו פרויקט, תיקייה או ארגון כדי לזהות פעולות רגישות.
ממצאים של שירות הפעולות הרגישות
בטבלה הבאה מוצגות קטגוריות הממצאים ששירות הפעולות הרגישות יכול להפיק. השם המוצג של כל ממצא מתחיל בטקטיקה של MITRE ATT&CK שאפשר להשתמש בה לפעולה שזוהתה.
| השם המוצג | שם ה-API | תיאור |
|---|---|---|
Defense Evasion: Organization Policy Changed |
change_organization_policy |
מדיניות ארגון ברמת הארגון נוצרה, עודכנה או נמחקה בארגון שקיים יותר מ-10 ימים. הממצא הזה לא זמין להפעלות ברמת הפרויקט. |
Defense Evasion: Remove Billing Admin |
remove_billing_admin |
תפקיד IAM של אדמין לחיוב ברמת הארגון הוסר בארגון שקיים יותר מ-10 ימים. |
Impact: GPU Instance Created |
gpu_instance_created |
נוצרה מכונת GPU, והגורם המבצע לא יצר לאחרונה מכונת GPU באותו פרויקט. |
Impact: Many Instances Created |
many_instances_created |
אותו חשבון משתמש יצר הרבה מופעים בפרויקט אחד ביום אחד. |
Impact: Many Instances Deleted |
many_instances_deleted |
הרבה מופעים נמחקו בפרויקט על ידי אותו חשבון משתמש ביום אחד. |
Persistence: Add Sensitive Role |
add_sensitive_role |
תפקיד רגיש או תפקיד עם הרשאות גבוהות ב-IAM ברמת הארגון הוענק בארגון שקיים יותר מ-10 ימים. הממצא הזה לא זמין להפעלות ברמת הפרויקט. |
Persistence: Project SSH Key Added |
add_ssh_key |
נוצר מפתח SSH ברמת הפרויקט בפרויקט שגילו יותר מ-10 ימים. |