Verifique se o Event Threat Detection está funcionando acionando intencionalmente o detector de concessão de anomalias do IAM e verificando se há descobertas.
O Event Threat Detection é um serviço integrado para o nível Premium do Security Command Center que monitora os streams de registros do Cloud Logging e do Google Workspace da organização e detecta ameaças quase em tempo real. Para saber mais, leia Visão geral do Event Threat Detection.
Antes de começar
Para ver as descobertas do Event Threat Detection, o serviço precisa estar ativado nas configurações Serviços do Security Command Center.
Para concluir este guia, é preciso ter um papel de Gerenciamento de identidade e acesso (IAM, na sigla em inglês)
com a permissão resourcemanager.projects.setIamPolicy
, como o papel Administrador
de IAM do projeto.
Como testar o Event Threat Detection
Para testar o Event Threat Detection, crie um usuário de teste, conceda permissões e veja a descoberta no Console do Google Cloud e no Cloud Logging.
Etapa 1: como criar um usuário de teste
Para acionar o detector, você precisa de um usuário de teste com um endereço de e-mail gmail.com. Crie uma conta do gmail.com e conceda acesso ao projeto em que você quer executar o teste. Verifique se essa conta do gmail.com ainda não tem permissões do IAM no projeto em que você está executando o teste.
Etapa 2: como acionar o detector de concessões anômalas do IAM
Acione o detector de concessão anômala do IAM ao convidar o endereço de e-mail gmail.com para o papel de proprietário do projeto.
- Acesse a página IAM e administrador no
console do Google Cloud.
Acessar a página "IAM e administrador" - Na página IAM e administrador, clique em Adicionar.
- Na janela Adicionar membros, em Novos membros, digite o endereço do gmail.com do usuário de teste.
- Em Selecionar um papel, selecione Projeto > Proprietário.
- Clique em Save.
Em seguida, você verifica se o detector de concessão anômala de IAM criou uma descoberta.
Etapa 3: como ver a descoberta no Security Command Center
Para ver a descoberta do Event Threat Detection em Security Command Center:
Acesse a página Descobertas do Security Command Center no Console do Google Cloud.
Na seção Categoria do painel Filtros rápidos, selecione Persistência: concessão anômala do IAM. Se necessário, clique em Saber mais para encontrá-la. O painel Resultados da consulta de descobertas é atualizado para mostrar apenas a categoria de descoberta selecionada.
Para classificar a lista no painel Resultados da consulta de descobertas, clique no cabeçalho da coluna Horário do evento para que a descoberta mais recente seja exibida primeiro.
No painel Resultados da consulta de descobertas, exiba os detalhes da descoberta clicando em Persistência: concessão anômala do IAM na coluna Categoria. O painel de detalhes da descoberta é aberto e exibe a guia Resumo.
Verifique o valor na linha E-mail principal. Precisa ser o endereço de e-mail de teste gmail.com a que você concedeu a propriedade.
Se uma descoberta não corresponder à conta de teste do gmail.com, verifique as configurações do Event Threat Detection.
Etapa 4: como visualizar a descoberta no Cloud Logging
Se você ativou as descobertas de registro no Cloud Logging, será possível visualizá-las. A visualização das descobertas de geração de registros no Cloud Logging só estará disponível se você ativar o nível Premium do Security Command Center Premium no nível da organização.
Acesse o Explorador de registros no console do Google Cloud.
Selecione o projeto do Google Cloud em que você está armazenando os registros do Event Threat Detection.
Use o painel Consulta para criar a consulta de uma das seguintes maneiras:
- Na lista Todos os recursos, faça o seguinte:
- Selecione Detector de Ameaças para mostrar uma lista de todos os detectores.
- Em DETECTOR_NAME, selecione iam_anomalous_grant.
- Clique em Aplicar. A tabela Resultados da consulta é atualizada com os registros selecionados por você.
Insira a consulta a seguir no editor de consultas e clique em Executar consulta:
resource.type="threat_detector"
A tabela Resultados da consulta é atualizada com os registros selecionados.
- Na lista Todos os recursos, faça o seguinte:
Para visualizar um registro, clique em uma linha da tabela e, em seguida, clique em Expandir campos aninhados
Se você não encontrar uma descoberta para a regra de concessão anômalas do IAM, verifique as configurações do Event Threat Detection.
Limpar
Quando terminar o teste, remova o usuário de teste da organização.
- Acesse a página IAM e administrador no
console do Google Cloud.
Acessar a página "IAM e administrador" - Ao lado do endereço gmail.com do usuário de teste, clique em Editar.
- No painel Editar permissões exibido, clique em Excluir para todos os papéis concedidos ao usuário de teste.
- Clique em Save.
A seguir
- Saiba mais sobre como usar o Event Threat Detection.
- Leia uma visão geral de alto nível dos conceitos do Event Threat Detection.
- Saiba como investigar e desenvolver planos de resposta para ameaças.