Probar Event Threat Detection

Para verificar que Event Threat Detection funciona, activa intencionadamente el detector de concesiones anómalas de IAM y comprueba si hay resultados.

Event Threat Detection es un servicio integrado que monitoriza los flujos de registros de Cloud Logging y Google Workspace de tu organización, y detecta amenazas prácticamente en tiempo real. Para obtener más información, consulta el artículo Información general sobre Event Threat Detection.

Antes de empezar

Para ver los resultados de Event Threat Detection, el servicio debe estar habilitado en la configuración de Servicios de Security Command Center.

Para completar esta guía, debes tener un rol de gestión de identidades y accesos (IAM) con el permiso resourcemanager.projects.setIamPolicy, como el rol Administrador de IAM del proyecto.

Probar Event Threat Detection

Para probar Event Threat Detection, crea un usuario de prueba, le concedes permisos y, a continuación, consulta la detección en la consola Google Cloud y en Cloud Logging.

Paso 1: Crear un usuario de prueba

Para activar el detector, necesitas un usuario de prueba con una dirección de correo de gmail.com. Puedes crear una cuenta de gmail.com y darle acceso al proyecto en el que quieras hacer la prueba. Asegúrate de que esta cuenta de gmail.com no tenga ningún permiso de gestión de identidades y accesos en el proyecto en el que vas a realizar la prueba.

Paso 2: Activar el detector de concesiones anómalas de gestión de identidades y accesos

Activa el detector de concesiones anómalas de gestión de identidades y accesos invitando a la dirección de correo de gmail.com a que asuma el rol de propietario del proyecto.

1. Ve a la página IAM y administración de laGoogle Cloud consola.
   Ve a la página IAM y administración
2. En la página IAM y administración, haz clic en Añadir.
3. En la ventana Añadir principales, en Nuevos principales, introduce la dirección de gmail.com del usuario de prueba.
4. En Selecciona un rol, elige Proyecto > Propietario.
5. Haz clic en Guardar.

A continuación, comprueba que el detector de concesiones anómalas de gestión de identidades y accesos ha escrito un resultado.

Paso 3: Ver el resultado en Security Command Center

Para ver el resultado de Event Threat Detection en Security Command Center, sigue estos pasos:

1. Ve a la página Resultados de Security Command Center en la Google Cloud consola.

   Ir a Resultados

2. En la sección Categoría del panel Filtros rápidos, selecciona Persistencia: concesión anómala de IAM. Si es necesario, haz clic en Ver más para encontrarlo. El panel Resultados de la consulta de detecciones se actualiza para mostrar solo la categoría de detección seleccionada.

3. Para ordenar la lista del panel Resultados de la consulta de detecciones, haga clic en el encabezado de la columna Hora del evento para que se muestre primero la detección más reciente.

4. En el panel Resultados de la consulta de detecciones, muestra los detalles de la detección haciendo clic en Persistencia: concesión anómala de IAM en la columna Categoría. Se abre el panel de detalles del resultado y se muestra la pestaña Resumen.

5. Compruebe el valor de la fila Correo principal. Debería ser la dirección de correo test gmail.com a la que has concedido la propiedad.

Si no aparece ningún resultado que coincida con tu cuenta de prueba de gmail.com, verifica la configuración de Detección de amenazas de eventos.

Paso 4: Ver el resultado en Cloud Logging

Si has habilitado el registro de detecciones en Cloud Logging, puedes ver la detección allí. Solo puede ver los resultados de los registros en Cloud Logging si activa el nivel Premium de Security Command Center en la organización.

1. Ve a Explorador de registros en la consola de Google Cloud .

   Ir a Explorador de registros

2. Selecciona el Google Cloud proyecto en el que almacenas los registros de Event Threat Detection.

3. Usa el panel Consulta para crear tu consulta de una de las siguientes formas:

   • En la lista Todos los recursos, haz lo siguiente:
     1. Selecciona Detector de amenazas para ver una lista de todos los detectores.
     2. En DETECTOR_NAME, selecciona iam_anomalous_grant.
     3. Haz clic en Aplicar. La tabla Resultados de la consulta se actualiza con los registros que has seleccionado.

   • Introduce la siguiente consulta en el editor de consultas y haz clic en Ejecutar consulta:

     resource.type="threat_detector"

     La tabla Resultados de la consulta se actualiza con los registros que ha seleccionado.

4. Para ver un registro, haga clic en una fila de la tabla y, a continuación, en Ampliar campos anidados.

Si no ves ningún resultado de la regla de concesión anómala de IAM, verifica la configuración de Detección de amenazas en eventos.

Limpieza

Cuando hayas terminado de hacer pruebas, elimina al usuario de prueba del proyecto.

1. Ve a la página IAM y administración de laGoogle Cloud consola.
   Ve a la página IAM y administración
2. Junto a la dirección de gmail.com del usuario de prueba, haz clic en Editar.
3. En el panel Editar permisos que aparece, haz clic en Eliminar en todos los roles concedidos al usuario de prueba.
4. Haz clic en Guardar.

Siguientes pasos

• Más información sobre cómo usar Event Threat Detection
• Consulta una descripción general de los conceptos de Event Threat Detection.
• Consulta cómo investigar y desarrollar planes de respuesta ante amenazas.