בדף הזה מוצג סקירה כללית של Sensitive Actions Service (שירות פעולות רגישות), שירות מובנה של Security Command Center שמזהה מקרים שבהם מתבצעות פעולות בארגון, בתיקיות ובפרויקטים שלכם שעלולות לגרום נזק לעסק אם הן מתבצעות על ידי גורם זדוני. Google Cloud
ברוב המקרים, הפעולות שמזוהות על ידי Sensitive Actions Service לא מייצגות איומים, כי הן מבוצעות על ידי משתמשים לגיטימיים למטרות לגיטימיות. עם זאת, שירות הפעולות הרגישות לא יכול לקבוע באופן חד-משמעי אם הפעולה לגיטימית, ולכן יכול להיות שתצטרכו לבדוק את הממצאים כדי לוודא שהם לא מייצגים איום.
איך פועל Sensitive Actions Service
השירות Sensitive Actions עוקב באופן אוטומטי אחרי כל יומני הביקורת Admin Activity של הארגון כדי לזהות פעולות רגישות. יומני הביקורת Admin Activity תמיד מופעלים, כך שלא צריך להפעיל או להגדיר אותם.
כש-Sensitive Actions Service מזהה פעולה רגישה שבוצעה על ידי חשבון Google, הוא כותב ממצא ב-Security Command Center במסוף Google Cloud ורשומה ביומן ביומני הפלטפורמהGoogle Cloud .
הממצאים של שירות הפעולות הרגישות מסווגים כתצפיות, ואפשר לראות אותם לפי סיווג הממצא או מקור הממצא בדף ממצאים במסוף Security Command Center.
הגבלות
בקטעים הבאים מתוארות ההגבלות שחלות על שירות הפעולות הרגישות.
תמיכה בחשבון
הזיהוי של שירות הפעולות הרגישות מוגבל לפעולות שבוצעו על ידי חשבונות משתמשים.
הצפנה והגבלות על מיקום הנתונים
כדי לזהות פעולות רגישות, שירות הפעולות הרגישות צריך להיות מסוגל לנתח את יומני הביקורת של פעילות האדמין בארגון.
אם הארגון שלכם מצפין את היומנים באמצעות מפתחות הצפנה בניהול הלקוח (CMEK), שירות הפעולות הרגישות לא יכול לקרוא את היומנים, ולכן לא יכול להזהיר אתכם כשמתרחשות פעולות רגישות.
אי אפשר לזהות פעולות רגישות אם הגדרתם את המיקום של קטגוריית היומן של יומני הביקורת Admin Activity במיקום שאינו המיקום global. לדוגמה, אם ציינתם מיקום אחסון ל-_Requiredlogs bucket בפרויקט, בתיקייה או בארגון מסוימים, לא ניתן לסרוק את היומנים מאותו פרויקט, תיקייה או ארגון כדי לזהות פעולות רגישות.
ממצאים של שירות הפעולות הרגישות
בטבלה הבאה מוצגות קטגוריות הממצאים ששירות הפעולות הרגישות יכול להפיק. השם המוצג של כל ממצא מתחיל בטקטיקה של MITRE ATT&CK שאפשר להשתמש בה לפעולה שזוהתה.
| השם המוצג | שם ה-API | תיאור |
|---|---|---|
Defense Evasion: Organization Policy Changed |
change_organization_policy |
מדיניות ארגונית ברמת הארגון נוצרה, עודכנה או נמחקה בארגון שקיים יותר מ-10 ימים. הממצא הזה לא זמין להפעלות ברמת הפרויקט. |
Defense Evasion: Remove Billing Admin |
remove_billing_admin |
תפקיד IAM של מנהל חיוב ברמת הארגון הוסר בארגון שקיים יותר מ-10 ימים. |
Impact: GPU Instance Created |
gpu_instance_created |
נוצרה מכונת GPU, והגורם המבצע לא יצר מכונת GPU באותו פרויקט לאחרונה. |
Impact: Many Instances Created |
many_instances_created |
נוצרו הרבה מופעים בפרויקט על ידי אותו חשבון משתמש ביום אחד. |
Impact: Many Instances Deleted |
many_instances_deleted |
הרבה מופעים נמחקו בפרויקט על ידי אותו חשבון משתמש ביום אחד. |
Persistence: Add Sensitive Role |
add_sensitive_role |
תפקיד רגיש או תפקיד עם הרשאות גבוהות ב-IAM ברמת הארגון הוענק בארגון שקיים יותר מ-10 ימים. הממצא הזה לא זמין להפעלות ברמת הפרויקט. |
Persistence: Project SSH Key Added |
add_ssh_key |
מפתח SSH ברמת הפרויקט נוצר בפרויקט, בפרויקט שגילו יותר מ-10 ימים. |