Event Threat Detection 테스트

IAM 비정상적인 권한 부여 감지기를 의도적으로 트리거하고 발견 항목을 확인하여 Event Threat Detection이 작동하는지 확인합니다.

Event Threat Detection은 조직의 Cloud Logging 및 Google Workspace 로깅 스트림을 모니터링하고 위협을 거의 실시간으로 감지하는 Security Command Center 프리미엄 등급을 위한 기본 서비스입니다. 자세한 내용은 Event Threat Detection 개요를 참조하세요.

시작하기 전에

Event Threat Detection 발견 항목을 보려면 Security Command Center 서비스 설정에서 서비스를 사용 설정해야 합니다.

이 가이드를 완료하려면 프로젝트 IAM 관리자 역할과 같은 resourcemanager.projects.setIamPolicy 권한이 있는 Identity and Access Management(IAM) 역할이 있어야 합니다.

Event Threat Detection 테스트

Event Threat Detection를 테스트하려면 테스트 사용자를 만들고 권한을 부여한 다음 Google Cloud 콘솔 및 Cloud Logging에서 발견 항목을 확인합니다.

1단계: 테스트 사용자 만들기

감지기를 트리거하려면 gmail.com 이메일 주소가 있는 테스트 사용자가 필요합니다. gmail.com 계정을 만든 다음 테스트를 수행할 프로젝트에 대한 액세스 권한을 부여할 수 있습니다. 이 gmail.com 계정에 테스트를 수행하는 프로젝트의 IAM 권한이 없는지 확인합니다.

2단계: IAM 비정상적인 권한 부여 감지기 트리거

프로젝트 소유자 역할에 gmail.com 이메일 주소를 지정해서 IAM 비정상적인 권한 부여 감지기를 트리거합니다.

  1. Google Cloud 콘솔에서 IAM 및 관리자 페이지로 이동합니다.
    IAM 및 관리 페이지로 이동
  2. IAM 및 관리 페이지에서 추가를 클릭합니다.
  3. 주 구성원 추가 창의 새 주 구성원에 테스트 사용자의 gmail.com 주소를 입력합니다.
  4. 역할 선택에서 프로젝트 > 소유자를 선택합니다.
  5. 저장을 클릭합니다.

다음으로 IAM 비정상적인 권한 부여 감지기가 발견 항목을 기록했는지 확인합니다.

3단계: Security Command Center에서 발견 항목 보기

Security Command Center에서 Event Threat Detection 발견 항목을 확인하는 방법은 다음과 같습니다.

  1. Google Cloud 콘솔에서 Security Command Center 발견 항목 페이지로 이동합니다.

    발견 항목으로 이동

  2. 빠른 필터 패널의 카테고리 섹션에서 지속성: IAM 비정상적인 권한 부여를 선택합니다. 필요한 경우 더보기를 클릭하여 찾습니다. 발견 항목 쿼리 결과 패널이 선택된 발견 항목 카테고리만 표시하도록 업데이트됩니다.

  3. 발견 항목 쿼리 결과 패널에서 목록을 정렬하려면 이벤트 시간 열 제목을 클릭하여 최근 발견 항목이 먼저 표시되도록 합니다.

  4. 발견 항목 쿼리 결과 패널에서 카테고리 열의 지속성: IAM 비정상적인 권한 부여를 클릭하여 발견 항목의 세부정보를 표시합니다. 발견 항목의 세부정보 패널이 열리고 요약 탭이 표시됩니다.

  5. 주 구성원 이메일 행에서 값을 확인합니다. 소유권을 부여한 테스트 gmail.com 이메일 주소여야 합니다.

테스트 gmail.com 계정과 일치하는 발견 항목이 표시되지 않는 경우 Event Threat Detection 설정을 확인합니다.

4단계: Cloud Logging에서 발견 항목 보기

Cloud Logging에 로깅 발견 항목을 사용 설정한 경우 Cloud Logging에서 발견 항목을 확인할 수 있습니다. 조직 수준에서 Security Command Center 프리미엄 등급을 활성화한 경우에만 Cloud Logging에서 발견 항목 로깅을 볼 수 있습니다.

  1. Google Cloud 콘솔의 로그 탐색기로 이동합니다.

    로그 탐색기로 이동

  2. 페이지 상단에 있는 프로젝트 선택기에서 Event Threat Detection 로그를 저장할 프로젝트를 선택합니다.

  3. 쿼리 빌더 탭을 클릭합니다.

  4. 리소스 드롭다운 목록에서 Threat Detector를 선택합니다.

  5. Detector 이름에서 iam_anomalous_grant를 선택하고 추가를 클릭합니다. 쿼리가 쿼리 빌더 텍스트 상자에 나타납니다.

  6. 또는 텍스트 상자에 다음 쿼리를 입력합니다. 

    resource.type="threat_detector" resource.labels.detector_name="iam_anomalous_grant"

  7. 쿼리 실행을 클릭합니다. 쿼리 결과 테이블이 선택한 로그로 업데이트됩니다.

  8. 로그를 보려면 표 행을 클릭한 다음 중첩된 필드 확장을 클릭합니다.

IAM 비정상적인 권한 부여 규칙에 대한 발견 항목이 표시되지 않으면 Event Threat Detection 설정을 확인하세요.

삭제

테스트를 완료한 후 프로젝트에서 테스트 사용자를 삭제합니다.

  1. Google Cloud 콘솔에서 IAM 및 관리자 페이지로 이동합니다.
    IAM 및 관리 페이지로 이동
  2. 테스트 사용자의 gmail.com 주소 옆에 있는 수정을 클릭합니다.
  3. 표시된 권한 수정 패널에서 테스트 사용자에게 부여된 모든 역할에 대해 삭제를 클릭합니다.
  4. 저장을 클릭합니다.

다음 단계