Menguji Event Threat Detection

Pastikan Event Threat Detection berfungsi dengan secara sengaja memicu detektor Pemberian Tidak Wajar IAM dan memeriksa temuan.

Event Threat Detection adalah layanan bawaan untuk paket Security Command Center Premium yang memantau streaming logging Cloud Logging dan Google Workspace organisasi Anda serta mendeteksi ancaman hampir secara real-time. Untuk mempelajari lebih lanjut, baca Ringkasan Deteksi Ancaman Peristiwa.

Sebelum memulai

Untuk melihat temuan Event Threat Detection, layanan harus diaktifkan di setelan Layanan Security Command Center.

Untuk menyelesaikan panduan ini, Anda harus memiliki peran Identity and Access Management (IAM) dengan izin resourcemanager.projects.setIamPolicy, seperti peran Admin IAM Project.

Menguji Event Threat Detection

Untuk menguji Event Threat Detection, buat pengguna uji coba, berikan izin, lalu lihat temuan tersebut di Konsol Google Cloud dan di Cloud Logging.

Langkah 1: Membuat pengguna uji coba

Untuk memicu detektor, Anda memerlukan pengguna uji coba dengan alamat email gmail.com. Anda dapat membuat akun gmail.com, lalu memberinya akses ke project tempat Anda ingin melakukan pengujian. Pastikan akun gmail.com ini belum memiliki izin IAM apa pun di project tempat Anda melakukan pengujian.

Langkah 2: Memicu detektor Pemberian Anomali IAM

Picu detektor Pemberian Tidak Wajar IAM dengan mengundang alamat email gmail.com ke peran Project Owner.

  1. Buka halaman IAM & Admin di Konsol Google Cloud.
    Buka halaman IAM & Admin
  2. Pada halaman IAM & Admin, klik Add.
  3. Di jendela Add principals, pada bagian New principals, masukkan alamat gmail.com pengguna pengujian.
  4. Di bagian Pilih peran, pilih Project > Pemilik.
  5. Klik Save.

Selanjutnya, Anda memverifikasi bahwa detektor Pemberian Hibah IAM telah menulis temuan.

Langkah 3: Lihat temuan di Security Command Center

Untuk melihat temuan Event Threat Detection di Security Command Center:

  1. Buka halaman Findings Security Command Center di Konsol Google Cloud.

    Buka Temuan

  2. Di bagian Category pada panel Quick filters, pilih Persistence: IAM yang tidak wajar. Jika perlu, klik View more untuk menemukannya. Panel Hasil kueri temuan diperbarui agar hanya menampilkan kategori temuan yang dipilih.

  3. Untuk mengurutkan daftar di panel Findings query results, klik header kolom Event time sehingga temuan terbaru akan ditampilkan terlebih dahulu.

  4. Di panel Findings query results, tampilkan detail temuan dengan mengklik Persistence: IAM Anomalous Grant di kolom Category. Panel detail untuk temuan akan terbuka dan menampilkan tab Ringkasan.

  5. Periksa nilai di baris Email utama. Alamat email tersebut harus berupa alamat email gmail.com pengujian yang Anda beri kepemilikan.

Jika temuan yang muncul tidak cocok dengan akun gmail.com pengujian Anda, verifikasi setelan Deteksi Ancaman Peristiwa.

Langkah 4: Melihat temuan di Cloud Logging

Jika mengaktifkan temuan logging ke Cloud Logging, Anda dapat melihat temuannya di sana. Fitur melihat temuan logging di Cloud Logging hanya tersedia jika Anda mengaktifkan paket Premium Security Command Center di level organisasi.

  1. Buka Logs Explorer di Konsol Google Cloud.

    Buka Logs Explorer

  2. Di Project selector di bagian atas halaman, pilih project tempat Anda menyimpan log Event Threat Detection.

  3. Klik tab Builder kueri.

  4. Di menu drop-down Resource, pilih Threat Detector.

  5. Di bagian Detector name, pilih iam_anomalous_grant, lalu klik Add. Kueri akan muncul di kotak teks pembuat kueri.

  6. Atau, masukkan kueri berikut di kotak teks:

    resource.type="threat_detector" resource.labels.detector_name="iam_anomalous_grant"

  7. Klik Run Query. Tabel Query results diperbarui dengan log yang Anda pilih.

  8. Untuk melihat log, klik baris tabel, lalu klik Luaskan kolom bertingkat.

Jika Anda tidak melihat temuan untuk aturan Pemberian Anomali IAM, verifikasi setelan Deteksi Ancaman Peristiwa.

Pembersihan

Setelah selesai menguji, hapus pengguna uji coba dari project.

  1. Buka halaman IAM & Admin di Konsol Google Cloud.
    Buka halaman IAM & Admin
  2. Di samping alamat gmail.com pengguna pengujian, klik Edit.
  3. Pada panel Edit izin yang muncul, klik Delete untuk semua peran yang diberikan kepada pengguna pengujian.
  4. Klik Save.

Langkah selanjutnya