Probar Event Threat Detection

Verifica que Event Threat Detection funcione y active intencionalmente el detector de Otorgamiento anómalo de IAM y controle los resultados.

Event Threat Detection es un servicio integrado para el nivel Premium de Security Command Center que supervisa las transmisiones de registros de Cloud Logging y Google Workspace de tu organización y detecta amenazas casi en tiempo real. Para obtener más información, consulta Descripción general de Event Threat Detection.

Antes de comenzar

Para ver los resultados de Event Threat Detection, el servicio debe estar habilitado en la configuración de Servicios del Security Command Center.

Para completar esta guía, debes tener una función de administración de identidades y accesos (IAM) con el permiso resourcemanager.projects.setIamPolicy, como la función de administrador de IAM del proyecto.

Probar Event Threat Detection

Para probar Event Threat Detection, crea un usuario de prueba, otorga permisos y, luego, visualiza los resultados en la consola de Google Cloud y en Cloud Logging.

Paso 1: Crea un usuario de prueba

Para activar el detector, necesitarás un usuario de prueba con una dirección de correo electrónico de gmail.com. Puedes crear una cuenta de gmail.com y otorgarle acceso al proyecto en el que deseas realizar la prueba. Asegúrate de que esta cuenta de gmail.com no tenga ningún permiso de IAM en el proyecto en el que realizas la prueba.

Paso 2: Activa el detector de otorgamiento de IAM anómalo

Activa el detector de Otorgamiento anómalo de IAM invitando a la dirección de correo electrónico de gmail.com al rol de Propietario del proyecto.

1. Ve a la página IAM y administración en la consola de Google Cloud.
   Ir a la página de IAM y administración
2. En la página IAM y administración, haz clic en Agregar.
3. En la ventana Agregar principales, en Principales nuevas, ingresa la dirección gmail.com del usuario de prueba.
4. En Selecciona una función, selecciona Proyecto > Propietario.
5. Haz clic en Guardar.

A continuación, verifica que el detector de otorgamiento anómalo de IAM haya escrito un hallazgo.

Paso 3: Visualiza los hallazgos en Security Command Center

Para ver el resultado de Event Threat Detection en Security Command Center, haz lo siguiente:

1. Ve a la pestaña Resultados de Security Command Center en la consola de Google Cloud.

   Ir a hallazgos

2. En la sección Categoría del panel Filtros rápidos, selecciona Persistencia: Otorgamiento anómalo de IAM. Si es necesario, haz clic en Ver más para encontrarla. El panel Resultados de la búsqueda se actualiza para mostrar solo la categoría de hallazgo seleccionada.

3. Para ordenar la lista en el panel Resultados de la búsqueda, haz clic en el encabezado de la columna Hora del evento para que aparezca primero el hallazgo más reciente.

4. En el panel Resultados de la búsqueda, haz clic en Persistencia: Otorgamiento anómalo de IAM en la columna Categoría para mostrar los detalles del hallazgo. Se abre el panel de detalles del hallazgo y se muestra la pestaña Resumen.

5. Verifica el valor en la fila Correo electrónico principal. Debe ser la dirección de correo electrónico de prueba de gmail.com a la que le otorgaste la propiedad.

Si un resultado no coincide con tu cuenta de gmail.com de prueba, verifica tu configuración de Event Threat Detection.

Paso 4: Visualiza el resultado en Cloud Logging

Si habilitaste los resultados de los registros en Cloud Logging, puedes verlos allí. La visualización de los resultados de registro en Cloud Logging solo está disponible si activas el nivel Premium de Security Command Center a nivel de la organización.

1. Ve al Explorador de registros en la consola de Google Cloud.

   Ir al Explorador de registros

2. Selecciona el proyecto de Google Cloud en el que almacenas los registros de Event Threat Detection.

3. Usa el panel Consulta para crear tu consulta de una de las siguientes maneras:

   • En la lista Todos los recursos, haz lo siguiente:
     1. Selecciona Threat Detector para mostrar una lista de todos los detectores.
     2. En DETECTOR_NAME, selecciona iam_anomalous_grant.
     3. Haz clic en Aplicar. La tabla Resultados de la consulta se actualiza con los registros que seleccionaste.

   • Ingresa la siguiente consulta en el editor de consultas y haz clic en Ejecutar consulta:

     resource.type="threat_detector"

     La tabla Resultados de la consulta se actualiza con los registros que seleccionaste.

4. Para ver un registro, haz clic en una fila de la tabla y, luego, en Expandir campos anidados.

Si no ves un resultado para la regla de otorgamiento anómalo de IAM, verifica la configuración de detección de amenazas de eventos.

Limpia

Cuando finalices la prueba, quita el usuario de prueba del proyecto.

1. Ve a la página IAM y administración en la consola de Google Cloud.
   Ir a la página de IAM y administración
2. Junto a la dirección de gmail.com del usuario de prueba, haz clic en Editar.
3. En el panel permiso de edición que aparece, haz clic en Borrar para todas las funciones otorgadas al usuario de prueba.
4. Haga clic en Save.

¿Qué sigue?

• Obtén más información para usar Event Threat Detection.
• Lee una descripción general de alto nivel de los conceptos de Event Threat Detection.
• Obtén información para investigar y desarrollar planes de respuesta para las amenazas.