Zum Schutz von Cloud-Umgebungen müssen Identity and Access Management-Konten vor Manipulationen geschützt werden. Wenn ein privilegiertes Nutzerkonto manipuliert wird, kann ein Angreifer Änderungen an einer Cloud-Umgebung vornehmen. Daher ist es für die Sicherheit von Unternehmen jeder Größe unerlässlich, potenzielle Manipulationen zu erkennen. Um Unternehmen dabei zu helfen, sicher zu bleiben, Google Cloud werden sensible Aktionen protokolliert, die von IAM Nutzerkonten ausgeführt werden. Außerdem werden Organisationsadministratoren über Advisory Notifications direkt über diese Aktionen benachrichtigt.
Sensible Aktionen sind Aktionen, die erhebliche negative Auswirkungen auf Ihre Google Cloud Organisation haben können, wenn sie von einem böswilligen Akteur mit einem gehackten Konto ausgeführt werden. Diese Aktionen stellen an sich keine Bedrohung für Ihre Organisation dar und deuten auch nicht darauf hin, dass ein Konto manipuliert wurde. Wir empfehlen jedoch, zu bestätigen, dass die Aktionen von Ihren Nutzern zu legitimen Zwecken ausgeführt wurden.
Wer erhält Benachrichtigungen zu sensiblen Aktionen?
Google Cloud benachrichtigt Ihre Organisation über sensible Aktionen, indem eine E-Mail-Benachrichtigung an die wichtigen Kontakte auf Organisationsebene für Sicherheit gesendet wird. Wenn keine wichtigen Kontakte konfiguriert sind, wird die E-Mail-Benachrichtigung an alle Konten gesendet, die auf Organisationsebene die IAM-Rolle „Organisationsadministrator“ haben.
Google CloudWird deaktiviert
Wenn Sie in Ihrer Organisation keine Benachrichtigungen zu sensiblen Aktionen erhalten möchten, können Sie diese Benachrichtigungen deaktivieren. Weitere Informationen finden Sie unter Benachrichtigungen konfigurieren. Das Deaktivieren von Benachrichtigungen zu sensiblen Aktionen betrifft nur die Benachrichtigungen, die über Advisory Notifications gesendet werden. Logs zu sensiblen Aktionen werden immer generiert und sind vom Deaktivieren von Benachrichtigungen nicht betroffen. Wenn Sie Security Command Center verwenden, ist der Sensitive Actions Service nicht vom Deaktivieren von Benachrichtigungen zu sensiblen Aktionen betroffen.
Funktionsweise von Sensitive Actions
Google Cloud erkennt sensible Aktionen durch Überwachung der Audit-Logs zur Administratoraktivität Ihrer Organisation. Wenn eine sensible Aktion erkannt wird, Google Cloud schreibt die Aktion in das Plattformlog des Sensitive Actions Service in derselben Ressource, in der die Aktivität stattgefunden hat. Google Cloud fügt das Ereignis auch einer Benachrichtigung hinzu, die über Advisory Notifications gesendet wird.
Benachrichtigungshäufigkeit
Wenn in Ihrer Organisation zum ersten Mal eine sensible Aktion beobachtet wird, erhalten Sie einen Bericht mit der ersten Aktion und allen anderen Aktionen, die in der folgenden Stunde ausgeführt werden. Nach dem ersten Bericht erhalten Sie höchstens einmal alle 30 Tage Berichte zu neuen sensiblen Aktionen in Ihrer Organisation. Wenn in Ihrer Organisation seit längerer Zeit keine sensiblen Aktionen ausgeführt wurden, erhalten Sie möglicherweise den Bericht für eine Stunde, wenn das nächste Mal eine sensible Aktion beobachtet wird.
Wann keine Berichte zu sensiblen Aktionen erstellt werden
Google Cloud meldet sensible Aktionen nur, wenn das Hauptkonto, das die Aktion ausführt, ein Nutzerkonto ist. Aktionen, die von einem Dienstkonto ausgeführt werden, werden nicht gemeldet. Google hat diese Funktion entwickelt, um sich vor Angreifern zu schützen, die Zugriff auf Anmeldedaten von Endnutzern erhalten und diese verwenden, um unerwünschte Aktionen in Cloud-Umgebungen auszuführen. Da viele dieser Aktionen für Dienstkonten üblich sind, werden für diese Identitäten keine Logs und Advisory Notifications erstellt.
Damit die entsprechenden Teams kritische Benachrichtigungen in der Kategorie „Sicherheit“ umgehend erhalten, konfigurieren Sie benutzerdefinierte Kontakte mit Wichtige Kontakte.
Sensible Aktionen können nicht erkannt werden, wenn Sie Ihre Audit-Logs zur Administratoraktivität so konfiguriert haben, dass sie in einer bestimmten Region gespeichert werden (d. h. nicht in der Region global). Wenn Sie beispielsweise eine Speicherregion für den Log-Bucket _Required in einer bestimmten Ressource angegeben haben, können Logs aus dieser Ressource nicht auf sensible Aktionen gescannt werden.
Wenn Sie Ihre Audit-Logs zur Administratoraktivität so konfiguriert haben, dass sie mit vom Kunden verwalteten Verschlüsselungsschlüsseln verschlüsselt werden, können Ihre Logs nicht auf sensible Aktionen gescannt werden.
Sensible Aktionen in Security Command Center
Wenn Sie Security Command Center verwenden, können Sie sensible Aktionen über den Sensitive Actions Service als Ergebnisse erhalten.
Die Logs zu sensiblen Aktionen und Advisory Notifications bieten zwar einen Einblick in das Kontoverhalten in Ihrer Organisation, Security Command Center bietet jedoch zusätzliche Einblicke und Verwaltungsfunktionen für Sicherheitsteams, die komplexere, größere oder wichtigere Arbeitslasten und Umgebungen schützen. Wir empfehlen, sensible Aktionen als Teil Ihrer allgemeinen Sicherheitsüberwachungsstrategie zu überwachen.
Weitere Informationen zu Security Command Center finden Sie unter:
Preise
Benachrichtigungen zu sensiblen Aktionen in Advisory Notifications sind kostenlos. Für Logs zu sensiblen Aktionen in Cloud Logging fallen gemäß den Preisen für Cloud Logging Kosten für die Aufnahme und Speicherung an. Die Anzahl der Logeinträge zu sensiblen Aktionen hängt davon ab, wie oft Nutzerkonten in Ihrer Organisation sensible Aktionen ausführen. Diese Aktionen sind in der Regel ungewöhnlich.
Arten von sensiblen Aktionen
Google Cloud informiert Sie über die folgenden Arten von sensiblen Aktionen.
Sensitive Roles Added
Einem Hauptkonto mit der IAM-Rolle „Inhaber“ (roles/owner) oder „Bearbeiter“ (roles/editor) wurde auf Organisationsebene Zugriff gewährt. Diese Rollen ermöglichen eine große Anzahl von Aktionen in Ihrer Organisation.
Billing Admin Removed
Die IAM-Rolle Rechnungskontoadministrator“ (roles/billing.admin) wurde auf Organisationsebene entfernt. Wenn diese Rolle entfernt wird, können Nutzer keine Abrechnungsaktivitäten mehr sehen. Außerdem kann ein Angreifer so unentdeckt bleiben.
Organization Policy Changed
Auf Organisationsebene wurde eine Organisationsrichtlinie erstellt, aktualisiert oder gelöscht. Organisationsrichtlinien auf dieser Ebene können sich auf die Sicherheit aller Ressourcen Ihrer Organisation auswirken.Google Cloud
Project-level SSH Key Added
Einem Google Cloud Projekt wurde ein SSH-Schlüssel auf Projektebene hinzugefügt, der zuvor keinen solchen Schlüssel hatte. Mit SSH-Schlüsseln auf Projektebene kann Zugriff auf alle virtuellen Maschinen (VMs) im Projekt gewährt werden.
GPU Instance Created
In einem Projekt wurde eine VM mit einer GPU von einer Person erstellt, die in diesem Projekt in letzter Zeit keine GPU-Instanz erstellt hat. Auf Compute Engine-Instanzen mit GPUs können Arbeitslasten wie das Mining von Kryptowährungen ausgeführt werden.
Many Instances Created
Ein Nutzer hat in einem bestimmten Projekt mehrere VM-Instanzen erstellt. Eine große Anzahl von VM-Instanzen kann für unerwartete Arbeitslasten wie das Mining von Kryptowährungen oder Denial-of-Service-Angriffe verwendet werden.
Many Instances Deleted
Ein Nutzer hat in einem bestimmten Projekt mehrere VM-Instanzen gelöscht. Eine große Anzahl von Instanzlöschungen kann Ihr Unternehmen beeinträchtigen.
Nächste Schritte
- Informationen zum Ansehen von Benachrichtigungen .
- Informationen zum Reagieren auf Benachrichtigungen zu sensiblen Aktionen .
- Informationen zum Aktivieren und Deaktivieren von Benachrichtigungen .