Probar Event Threat Detection

Verifica que Event Threat Detection funcione y active intencionalmente el detector de Otorgamiento anómalo de IAM y controle los resultados.

Event Threat Detection es un servicio integrado para el nivel Premium de Security Command Center que supervisa las transmisiones de registros de Cloud Logging y Google Workspace de tu organización y detecta amenazas casi en tiempo real. Para obtener más información, consulta Descripción general de Event Threat Detection.

Antes de comenzar

Para ver los resultados de Event Threat Detection, el servicio debe estar habilitado en la configuración de Servicios del Security Command Center.

Para completar esta guía, debes tener una función de administración de identidades y accesos (IAM) con el permiso resourcemanager.projects.setIamPolicy, como la función de administrador de IAM del proyecto.

Probar Event Threat Detection

Para probar Event Threat Detection, crea un usuario de prueba, otorga permisos y, luego, Ver el hallazgo en la consola de Google Cloud y en Cloud Logging

Paso 1: Crea un usuario de prueba

Para activar el detector, necesitarás un usuario de prueba con una dirección de correo electrónico de gmail.com. Puedes crear una cuenta de gmail.com y otorgarle acceso al proyecto en el que deseas realizar la prueba. Asegúrate de que esta cuenta de gmail.com no tenga tener permisos de IAM en el proyecto en el que realizas la prueba.

Paso 2: Activa el detector de otorgamiento de IAM anómalo

Activa el detector de otorgamiento anómalo de IAM mediante una invitación a la dirección de correo electrónico de gmail.com. al rol Propietario del proyecto.

1. Ve a la página IAM y administración en la consola de Google Cloud.
   Ir a la página de IAM y administración
2. En la página IAM y administración, haz clic en Agregar.
3. En la ventana Agregar principales, en Principales nuevas, ingresa la dirección gmail.com del usuario de prueba.
4. En Selecciona un rol, elige Proyecto > Propietario:
5. Haz clic en Guardar.

A continuación, debes verificar que el detector de otorgamiento anómalo de IAM haya escrito un hallazgo.

Paso 3: Visualiza los hallazgos en Security Command Center

Para ver el hallazgo de Event Threat Detection en Security Command Center, haz lo siguiente:

1. Ve a la pestaña Resultados de Security Command Center en la consola de Google Cloud.

   Ir a hallazgos

2. En la sección Categoría del panel Filtros rápidos, selecciona Persistencia: Otorgamiento anómalo de IAM. Si es necesario, haz clic en Ver más. para encontrarlo. El panel Resultados de la búsqueda se actualiza para mostrar solo la categoría de hallazgo seleccionada.

3. Para ordenar la lista en el panel Resultados de la búsqueda, haz clic en Hora del evento de modo que se muestre primero el hallazgo más reciente.

4. En el panel Resultados de la búsqueda, muestra los detalles del resultado. haciendo clic en Persistencia: Otorgamiento anómalo de IAM en la columna Categoría. Se abre el panel de detalles para el hallazgo y se muestra la pestaña Resumen.

5. Marca el valor en la fila Correo electrónico principal. Debería ser la prueba dirección de correo electrónico de gmail.com a la que le otorgaste propiedad.

Si un resultado no coincide con tu cuenta de gmail.com de prueba, verifica tu configuración de Event Threat Detection.

Paso 4: Visualiza el resultado en Cloud Logging

Si habilitaste los hallazgos de registros en Cloud Logging, puedes ver los que encuentras ahí. Solo la visualización de los resultados de los registros en Cloud Logging disponible si activas el nivel Premium de Security Command Center en a nivel de la organización.

1. Ve al Explorador de registros en la consola de Google Cloud.

   Ir al Explorador de registros

2. En el Selector de proyectos en la parte superior de la página, selecciona el proyecto en el que almacenas los registros de Event Threat Detection.

3. Haz clic en la pestaña Compilador de consultas.

4. En la lista desplegable de recursos, selecciona Threat Detector.

5. En Nombre del detector, selecciona iam_anomalous_grant y haz clic en Agregar. La consulta aparece en el cuadro de texto del compilador de consultas.

6. O bien, ingresa la siguiente consulta en el cuadro de texto:

   resource.type="threat_detector" resource.labels.detector_name="iam_anomalous_grant"
   

7. Haga clic en Ejecutar consulta. La tabla Resultados de la consulta se actualiza con los registros que seleccionaste.

8. Para ver un registro, haz clic en una fila de la tabla y, luego, en Expandir campos anidados.

Si no ves un resultado para la regla de otorgamiento anómalo de IAM, verifica la configuración de detección de amenazas de eventos.

Limpia

Cuando termines la prueba, quita el usuario de prueba del proyecto.

1. Ve a la página IAM y administración en la consola de Google Cloud.
   Ir a la página de IAM y administración
2. Junto a la dirección de gmail.com del usuario de prueba, haz clic en Editar.
3. En el panel permiso de edición que aparece, haz clic en Borrar para todas las funciones otorgadas al usuario de prueba.
4. Haga clic en Save.

¿Qué sigue?

• Obtén más información para usar Event Threat Detection.
• Lee una descripción general de alto nivel de los conceptos de la Detección de amenazas de eventos.
• Obtén información a fin de investigar y desarrollar planes de respuesta para las amenazas.