Verifica di Event Threat Detection

Verifica il funzionamento di Event Threat Detection attivando intenzionalmente il rilevatore di concessioni anomale IAM e controllando i risultati.

Event Threat Detection è un servizio integrato per il livello Premium di Security Command Center che monitora i flussi di logging di Cloud Logging e Google Workspace della tua organizzazione e rileva le minacce quasi in tempo reale. Per saperne di più, consulta la panoramica di Event Threat Detection.

Prima di iniziare

Per visualizzare i risultati di Event Threat Detection, il servizio deve essere abilitato nelle impostazioni dei servizi di Security Command Center.

Per completare questa guida, devi avere un ruolo Identity and Access Management (IAM) con l'autorizzazione resourcemanager.projects.setIamPolicy, ad esempio il ruolo Amministratore IAM del progetto.

Verifica di Event Threat Detection

Per testare Event Threat Detection, crea un utente di test, concedi le autorizzazioni e quindi visualizza il risultato nella console Google Cloud e in Cloud Logging.

Passaggio 1: crea un utente di test

Per attivare il rilevatore, devi avere un utente di prova con un indirizzo email gmail.com. Puoi creare un account gmail.com e concedergli l'accesso al progetto in cui vuoi eseguire il test. Assicurati che questo account gmail.com non disponga già di autorizzazioni IAM nel progetto in cui stai eseguendo il test.

Passaggio 2: attiva il rilevatore di concessioni anomale IAM

Per attivare il rilevatore di concessioni anomale IAM, invita l'indirizzo email gmail.com al ruolo Proprietario progetto.

1. Vai alla pagina IAM e amministrazione nella console Google Cloud.
   Vai alla pagina IAM e amministrazione
2. Nella pagina IAM e amministrazione, fai clic su Aggiungi.
3. Nella finestra Aggiungi entità, in Nuove entità, inserisci l'indirizzo gmail.com dell'utente di test.
4. In Seleziona un ruolo, seleziona Progetto > Proprietario.
5. Fai clic su Salva.

Successivamente, verificherai che il rilevatore di concessioni anomale IAM abbia scritto un risultato.

Passaggio 3: visualizza il risultato in Security Command Center

Per visualizzare il risultato di Event Threat Detection in Security Command Center:

1. Vai alla pagina Risultati di Security Command Center nella console Google Cloud.

   Vai a Risultati

2. Nella sezione Categoria del riquadro Filtri rapidi, seleziona Persistenza: concessione IAM anomala. Se necessario, fai clic su Mostra altro per trovarla. Il riquadro Risultati delle query dei risultati viene aggiornato per mostrare solo la categoria di risultati selezionata.

3. Per ordinare l'elenco nel riquadro Risultati delle query dei risultati, fai clic sull'intestazione della colonna Ora evento in modo che venga visualizzato per primo il risultato più recente.

4. Nel riquadro Risultati query dei risultati, visualizza i dettagli del risultato facendo clic su Persistenza: concessione anomala IAM nella colonna Categoria. Il riquadro dei dettagli del risultato si apre e mostra la scheda Riepilogo.

5. Controlla il valore nella riga Email principale. Dovrebbe essere l'indirizzo email gmail.com di prova a cui hai concesso la proprietà.

Se non vedi un risultato che corrisponde al tuo account gmail.com di prova, verifica le impostazioni di Event Threat Detection.

Passaggio 4: visualizza il risultato in Cloud Logging

Se hai abilitato i risultati del logging in Cloud Logging, puoi visualizzare i risultati. La visualizzazione dei risultati di logging in Cloud Logging è disponibile solo se attivi il livello Premium di Security Command Center a livello di organizzazione.

1. Vai a Esplora log nella console Google Cloud.

   Vai a Esplora log

2. Nel Selettore di progetto nella parte superiore della pagina, seleziona il progetto in cui vuoi archiviare i log di Event Threat Detection.

3. Fai clic sulla scheda Query Builder.

4. Nell'elenco a discesa Risorsa, seleziona Rilevatore di minacce.

5. In Nome rilevatore, seleziona iam_anomalous_grant, quindi fai clic su Aggiungi. La query viene visualizzata nella casella di testo di Query Builder.

6. In alternativa, inserisci la seguente query nella casella di testo:

   resource.type="threat_detector" resource.labels.detector_name="iam_anomalous_grant"
   

7. Fai clic su Esegui query. La tabella Risultati delle query viene aggiornata con i log selezionati.

8. Per visualizzare un log, fai clic sulla riga di una tabella, quindi su Espandi campi nidificati.

Se non vedi un risultato per la regola di concessione IAM anomala, verifica le impostazioni di Event Threat Detection.

Esegui la pulizia

Al termine del test, rimuovi l'utente di test dal progetto.

1. Vai alla pagina IAM e amministrazione nella console Google Cloud.
   Vai alla pagina IAM e amministrazione
2. Accanto all'indirizzo gmail.com dell'utente di test, fai clic su Modifica.
3. Nel riquadro Modifica autorizzazioni visualizzato, fai clic su Elimina per tutti i ruoli concessi all'utente di test.
4. Fai clic su Salva.

Passaggi successivi

• Scopri di più sull'utilizzo di Event Threat Detection.
• Leggi una panoramica generale dei concetti di Event Threat Detection.
• Scopri come indagare e sviluppare piani di risposta alle minacce.