このページでは、Security Command Center の組み込みサービスである Sensitive Actions Service の概要について説明します。このサービスは、Google Cloud の組織、フォルダ、プロジェクトで悪意をもって行われた場合にビジネスに損害を与える可能性のあるアクションを検出します。
Sensitive Actions Service で検出されるアクションのほとんどは、正規のユーザーによって正当な目的で実行されるもので、脅威となるものではありません。ただし、Sensitive Actions Service が正しい判定を行うとは限りません。検出結果を調査して検出結果が脅威でないことを確認する必要があります。
Sensitive Actions Service の仕組み
Sensitive Actions Service は、組織の管理アクティビティ監査ログに記録された機密性の高いアクションを自動的にモニタリングします。管理アクティビティ監査ログは常時有効になっています。このログを有効にしたり、構成する必要はありません。
Sensitive Actions Service は、Google アカウントによって実行された機密性の高いアクションを検出すると、検出結果を Google Cloud コンソールの Security Command Center に書き込みます。さらに、ログエントリを Google Cloud Platform のログに書き込みます。
Sensitive Actions Service の検出結果はオブザベーションとして分類されます。これは、Security Command Center ダッシュボードの [検出] タブのクラスまたはソースで確認できます。
制限事項
以降のセクションでは、Sensitive Actions Service に適用される制限事項について説明します。
アカウント サポート
Sensitive Actions Service の検出対象は、ユーザー アカウントによって実行されるアクションに限定されています。
暗号化とデータ所在地の制限
機密性の高いアクションを検出するには、Sensitive Actions Service が組織の管理アクティビティ監査ログを分析できる必要があります。
組織で顧客管理の暗号鍵(CMEK)を使用してログを暗号化している場合、Sensitive Actions Service はログを読み取ることができず、機密性の高いアクションが発生してもアラートを送信することはできません。
管理アクティビティ監査ログのログバケットのロケーションを global 以外のロケーションに構成している場合、機密アクションは検出できません。たとえば、特定のプロジェクト、フォルダ、または組織の _Required ログバケットの保存場所を指定した場合、そのプロジェクト、フォルダのログ、または組織による機密情報に関する操作をスキャンできません。
Sensitive Actions Service の検出結果
次の表に、Sensitive Actions Service で生成される検出結果のカテゴリを示します。各検出結果の表示名は、検出されたアクションに使用できる MITRE ATT&CK 戦術で始まります。
| 表示名 | API 名 | 説明 |
|---|---|---|
Defense Evasion: Organization Policy Changed |
change_organization_policy |
10 日以上経過した組織で、組織レベルの組織ポリシーが作成、更新、削除されました。 プロジェクト レベルで有効にしている場合、この検出結果は利用できません。 |
Defense Evasion: Remove Billing Admin |
remove_billing_admin |
10 日以上経過した組織で、組織レベルの課金管理者の IAM ロールが削除されました。 |
Impact: GPU Instance Created |
gpu_instance_created |
GPU インスタンスが作成されましたが、そのプリンシパルは、最近同じプロジェクトで GPU インスタンスを作成していません。 |
Impact: Many Instances Created |
many_instances_created |
同じ日に同じプリンシパルによってプロジェクト内に複数のインスタンスが作成されました。 |
Impact: Many Instances Deleted |
many_instances_deleted |
同じ日に同じプリンシパルによってプロジェクト内の複数のインスタンスが削除されました。 |
Persistence: Add Sensitive Role |
add_sensitive_role |
10 日以上経過した組織で、機密性または権限の高い組織レベルの IAM ロールが付与されました。 プロジェクト レベルで有効にしている場合、この検出結果は利用できません。 |
Persistence: Project SSH Key Added |
add_ssh_key |
10 日以上経過したプロジェクトに、プロジェクト レベルの SSH 認証鍵が作成されました。 |
次のステップ
Sensitive Actions Service の使用方法を学習する。
脅威に対する対応計画の調査と開発の方法を学習する。