测试 Event Threat Detection

通过有意触发 IAM 异常授权检测器并检查发现结果,验证事件威胁检测在正常运行。

Event Threat Detection 是 Security Command Center 高级层级的一项内置服务,可监控组织的 Cloud Logging 和 Google Workspace 日志记录流并以近乎实时的方式检测威胁。如需了解详情,请参阅 Event Threat Detection 概览

准备工作

如需查看 Event Threat Detection 结果,您必须在 Security Command Center 服务设置中启用该服务。

为完成本指南,您必须拥有具有 resourcemanager.projects.setIamPolicy 权限的身份和访问权限管理 (IAM) 角色,例如 Project IAM Admin 角色。

测试 Event Threat Detection

如需测试 Event Threat Detection,您需要创建测试用户,授予权限,然后在 Google Cloud 控制台和 Cloud Logging 中查看发现结果。

第 1 步:创建测试用户

如需触发检测器,您需要一个具有 gmail.com 电子邮件地址的测试用户。您可以创建一个 gmail.com 账号,然后向其授予您要在其中执行测试的项目的访问权限。确保此 gmail.com 账号在要执行测试的项目中没有任何 IAM 权限。

第 2 步:触发 IAM 异常授权检测器

邀请 gmail.com 电子邮件地址获取 Project Owner 角色,以触发 IAM 异常授权检测器。

  1. 转到 Google Cloud 控制台中的 IAM 和管理页面
    转到“IAM 和管理”页面
  2. IAM 和管理页面上,点击添加
  3. 添加主账号窗口的新的主账号下,输入测试用户的 gmail.com 地址。
  4. 选择角色下,选择项目 > Owner
  5. 点击保存

接下来,您需要验证 IAM 异常授权检测器已写入发现结果。

第 3 步:在 Security Command Center 中查看发现结果

若要在 Security Command Center 中查看 Event Threat Detection 的发现结果,请执行以下操作:

  1. 转到 Google Cloud 控制台中的 Security Command Center 发现结果页面。

    转至“发现结果”

  2. 快速过滤条件面板的类别部分中,选择持久性:IAM 异常授权。如有必要,请点击查看更多找到它。发现结果的查询结果面板会更新,仅显示所选的发现结果类别。

  3. 如需在发现结果的查询结果面板中对列表进行排序,请点击事件时间列标题,以便优先显示最新的发现结果。

  4. 发现结果的查询结果面板中,通过点击类别列中的持久性:IAM 异常授权显示发现结果的详细信息。系统会打开发现结果的详细信息面板,并显示摘要标签页。

  5. 查看校长电子邮件地址行中的值。该值应该是您授予所有权的测试 gmail.com 电子邮件地址。

如果发现结果看起来与测试 gmail.com 账号不匹配,请验证您的 Event Threat Detection 设置。

第 4 步:在 Cloud Logging 中查看发现结果

如果您启用了将发现结果记录到 Cloud Logging,则可以在其中查看。仅当您在组织级层激活 Security Command Center 高级层级时,才能在 Cloud Logging 中查看日志记录发现结果。

  1. 转到 Google Cloud 控制台中的日志浏览器

    转到日志浏览器

  2. 选择要存储 Event Threat Detection 日志的 Google Cloud 项目。

  3. 使用查询窗格通过以下任一方式构建查询:

    • 所有资源列表中,执行以下操作:
      1. 选择 Threat Detector 以显示所有检测器的列表。
      2. DETECTOR_NAME 下,选择 iam_anomalous_grant
      3. 点击应用查询结果表将根据您选择的日志进行更新。
    • 在查询编辑器中输入以下查询,然后点击运行查询

      resource.type="threat_detector"

      查询结果表将根据您选择的日志进行更新。

  4. 要查看日志,请点击表行,然后点击展开嵌套字段

如果您没有看到 IAM 异常授予规则的发现结果,请验证 Event Threat Detection 设置。

清理

完成测试后,从项目中移除测试用户。

  1. 转到 Google Cloud 控制台中的 IAM 和管理页面
    转到“IAM 和管理”页面
  2. 在测试用户的 gmail.com 地址旁边,点击修改
  3. 在显示的修改权限面板上,针对已授予测试用户的所有角色点击删除
  4. 点击保存

后续步骤