Esta página foi traduzida pela API Cloud Translation.

Vista geral do serviço de ações confidenciais

Esta página oferece uma vista geral do serviço de ações confidenciais, um serviço integrado do Security Command Center que deteta quando são realizadas ações na sua Google Cloudorganização, pastas e projetos que podem ser prejudiciais para a sua empresa se forem realizadas por um ator malicioso.

Na maioria dos casos, as ações detetadas pelo serviço de ações confidenciais não representam ameaças, porque são realizadas por utilizadores legítimos para fins legítimos. No entanto, o serviço de ações confidenciais não consegue determinar a legitimidade de forma conclusiva, pelo que pode ter de investigar as conclusões antes de ter a certeza de que não representam uma ameaça.

Como funciona o serviço de ações confidenciais

O serviço de ações confidenciais monitoriza automaticamente todos os registos de auditoria da atividade do administrador da sua organização para ações confidenciais. Os registos de auditoria da atividade do administrador estão sempre ativados, pelo que não precisa de os ativar nem configurar de outra forma.

Quando o serviço de ações sensíveis deteta uma ação sensível realizada por uma Conta Google, o serviço de ações sensíveis escreve uma descoberta no Security Command Center na Google Cloud consola e uma entrada de registo nos registos da Google Cloud plataforma.

Os resultados do serviço de ações confidenciais são classificados como observações e podem ser vistos por classe de resultado ou origem do resultado na página Resultados na consola do Security Command Center.

Restrições

As secções seguintes descrevem as restrições aplicáveis ao serviço de ações confidenciais.

Apoio técnico da conta

A deteção do serviço de ações confidenciais está limitada a ações realizadas por contas de utilizador.

Restrições de encriptação e residência de dados

Para detetar ações confidenciais, o serviço de ações confidenciais tem de poder analisar os registos de auditoria da atividade do administrador da sua organização.

Se a sua organização encriptar os registos através de chaves de encriptação geridas pelo cliente (CMEK), o serviço de ações confidenciais não pode ler os seus registos e, consequentemente, não pode enviar-lhe alertas quando ocorrem ações confidenciais.

Não é possível detetar ações confidenciais se tiver configurado a localização do contentor de registos para os registos de auditoria da atividade de administrador numa localização diferente da localização global. Por exemplo, se tiver especificado uma localização de armazenamento para o contentor de registos num determinado projeto, pasta ou organização, não é possível analisar os registos desse projeto, pasta ou organização para ações confidenciais._Required

Resultados do serviço de ações confidenciais

A tabela seguinte mostra as categorias de resultados que o serviço de ações sensíveis pode gerar. O nome a apresentar de cada descoberta começa com a tática MITRE ATT&CK que a ação detetada pode usar.

Nome a apresentar	Nome da API	Descrição
`Defense Evasion: Organization Policy Changed`	`change_organization_policy`	Foi criada, atualizada ou eliminada uma política da organização ao nível da organização numa organização com mais de 10 dias. Esta descoberta não está disponível para ativações ao nível do projeto.
`Defense Evasion: Remove Billing Admin`	`remove_billing_admin`	Uma função do IAM de administrador de faturação ao nível da organização foi removida numa organização com mais de 10 dias.
`Impact: GPU Instance Created`	`gpu_instance_created`	Foi criada uma instância de GPU, em que o principal de criação não criou recentemente uma instância de GPU no mesmo projeto.
`Impact: Many Instances Created`	`many_instances_created`	Foram criadas muitas instâncias num projeto pelo mesmo principal num dia.
`Impact: Many Instances Deleted`	`many_instances_deleted`	Muitas instâncias foram eliminadas num projeto pelo mesmo principal num dia.
`Persistence: Add Sensitive Role`	`add_sensitive_role`	Foi concedida uma função de IAM ao nível da organização sensível ou com privilégios elevados numa organização com mais de 10 dias. Esta descoberta não está disponível para ativações ao nível do projeto.
`Persistence: Project SSH Key Added`	`add_ssh_key`	Foi criada uma chave SSH ao nível do projeto num projeto com mais de 10 dias.

O que se segue?

Saiba como usar o serviço de ações confidenciais.
Saiba como investigar e desenvolver planos de resposta para ameaças.