Event Threat Detection testen

Prüfen Sie, ob die Event Threat Detection funktioniert, indem Sie absichtlich den IAM-Detektor "Anomalous Grant" auslösen und nach Ergebnissen suchen.

Event Threat Detection ist ein integrierter Dienst für die Premium-Stufe des Security Command Center. Sie überwacht die Logging-Streams von Cloud Logging und Google Workspace Ihrer Organisation und erkennt Bedrohungen nahezu in Echtzeit. Weitere Informationen finden Sie unter Event Threat Detection – Übersicht.

Hinweis

Damit Ergebnisse von Event Threat Detection angezeigt werden können, muss der Dienst in den Services-Einstellungen von Security Command Center aktiviert sein.

Sie können diese Anleitung nur ausführen, wenn Sie eine IAM-Rolle (Identity and Access Management) mit der Berechtigung resourcemanager.projects.setIamPolicy haben, z. B. die Rolle "Projekt-IAM-Administrator".

Event Threat Detection testen

Zum Testen von Event Threat Detection erstellen Sie einen Testnutzer, gewähren Berechtigungen und sehen sich dann das Ergebnis in der Google Cloud -Konsole und in Cloud Logging an.

Schritt 1: Testnutzer erstellen

Um den Detektor auszulösen, benötigen Sie einen Testnutzer mit einer E-Mail-Adresse von gmail.com. Sie können ein gmail.com-Konto erstellen und diesem dann Zugriff auf das Projekt gewähren, in dem Sie den Test durchführen möchten. Achten Sie darauf, dass dieses Gmail-Konto keine IAM-Berechtigungen für das Projekt hat, in dem Sie den Test durchführen.

Schritt 2: IAM Anomalous Grant-Detektor auslösen

Lösen Sie den IAM Anomalie-Grants-Detektor aus, indem Sie die E-Mail-Adresse von gmail.com zur Rolle „Project Owner“ einladen.

1. Rufen Sie in derGoogle Cloud -Konsole die Seite IAM & Verwaltung auf.
   Zur Seite „IAM & Verwaltung“
2. Klicken Sie auf der Seite IAM und Verwaltung auf Hinzufügen.
3. Geben Sie im Fenster Hauptkonto hinzufügen unter Neue Hauptkonten die gmail.com-Adresse des Testnutzers ein.
4. Wählen Sie unter Rolle auswählen die Option Projekt > Inhaber aus.
5. Klicken Sie auf Speichern.

Als Nächstes prüfen Sie, ob der IAM Anomalie-Grants-Detektor ein Ergebnis ausgegeben hat.

Schritt 3: Ergebnis in Security Command Center ansehen

So rufen Sie das Event Threat Detection-Ergebnis im Security Command Center auf:

1. Rufen Sie in der Google Cloud Console die Seite Ergebnisse des Security Command Center auf.

   Zu Ergebnissen

2. Wählen Sie im Bereich Kategorie des Steuerfelds Schnellfilter die Option Persistenz: Anomaler IAM-Zugriff aus. Klicken Sie bei Bedarf auf Mehr anzeigen, um sie zu finden. Der Bereich Ergebnisse der Ergebnisabfrage wird aktualisiert und zeigt nur die ausgewählte Ergebniskategorie an.

3. Wenn Sie die Liste im Bereich Ergebnisse der Ergebnisabfrage sortieren möchten, klicken Sie auf die Spaltenüberschrift Ereigniszeit, damit das neueste Ergebnis zuerst angezeigt wird.

4. Klicken Sie im Bereich Ergebnisse der Ergebnisabfrage in der Spalte Kategorie auf Persistenz: Ungewöhnliche IAM-Gewährung, um die Details des Ergebnisses aufzurufen. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.

5. Prüfen Sie den Wert in der Zeile Haupt-E-Mail-Adresse. Es sollte die E-Mail-Adresse des Testnutzers sein, dem Sie die Inhaberschaft erteilt haben.

Wenn kein Ergebnis vorhanden ist, das mit Ihrem gmail.com-Testkonto übereinstimmt, prüfen Sie Ihre Einstellungen für die Event Threat Detection.

Schritt 4: Ergebnis in Cloud Logging ansehen

Wenn Sie Logging-Ergebnisse in Cloud Logging aktiviert haben, können Sie sich die Ergebnisse dort ansehen. Sie können Protokollergebnisse in Cloud Logging nur aufrufen, wenn Sie die Premium-Stufe von Security Command Center auf Organisationsebene aktivieren.

1. Rufen Sie in der Google Cloud -Konsole den Log-Explorer auf.

   Zum Log-Explorer

2. Wählen Sie das Google Cloud -Projekt aus, in dem Sie die Event Threat Detection-Logs speichern.

3. Im Bereich Abfrage haben Sie folgende Möglichkeiten, eine Abfrage zu erstellen:

   • Gehen Sie in der Liste Alle Ressourcen so vor:
     1. Wählen Sie Threat Detector aus, um eine Liste aller Detektoren aufzurufen.
     2. Wählen Sie unter DETECTOR_NAME die Option iam_anomalous_grant aus.
     3. Klicken Sie auf Anwenden. Die Tabelle Abfrageergebnisse wird mit den ausgewählten Logs aktualisiert.

   • Geben Sie die folgende Abfrage in den Abfrageeditor ein und klicken Sie auf Abfrage ausführen:

     resource.type="threat_detector"

     Die Tabelle Abfrageergebnisse wird mit den ausgewählten Logs aktualisiert.

4. Zum Aufrufen eines Logs klicken Sie auf eine Tabellenzeile und dann auf Verschachtelte Felder erweitern.

Wenn Sie kein Ergebnis für die IAM-Regel "Anomalie-Grants" sehen, prüfen Sie Ihre Einstellungen für Event Threat Detection.

Bereinigen

Nach Abschluss des Tests können Sie den Testnutzer aus dem Projekt entfernen.

1. Rufen Sie in derGoogle Cloud -Konsole die Seite IAM & Verwaltung auf.
   Zur Seite „IAM & Verwaltung“
2. Klicken Sie neben der Gmail-Adresse des Testnutzers auf Bearbeiten.
3. Klicken Sie im eingeblendeten Fenster Berechtigungen bearbeiten für alle dem Testnutzer zugewiesenen Rollen auf Löschen.
4. Klicken Sie auf Speichern.

Nächste Schritte

• Weitere Informationen zur Verwendung von Event Threat Detection
• Lesen Sie eine allgemeine Übersicht über Event Threat Detection-Konzepte.
• Weitere Informationen zum Untersuchen und Entwickeln von Reaktionsplänen für Bedrohungen.