Event Threat Detection testen

Prüfen Sie, ob die Event Threat Detection funktioniert, indem Sie absichtlich den IAM-Detektor "Anomalous Grant" auslösen und nach Ergebnissen suchen.

Event Threat Detection ist ein integrierter Dienst für die Premium-Stufe des Security Command Center. Sie überwacht die Logging-Streams von Cloud Logging und Google Workspace Ihrer Organisation und erkennt Bedrohungen nahezu in Echtzeit. Weitere Informationen finden Sie unter Event Threat Detection – Übersicht.

Hinweis

Damit Ergebnisse von Event Threat Detection angezeigt werden können, muss der Dienst in den Services-Einstellungen von Security Command Center aktiviert sein.

Sie können diese Anleitung nur ausführen, wenn Sie eine IAM-Rolle (Identity and Access Management) mit der Berechtigung resourcemanager.projects.setIamPolicy haben, z. B. die Rolle "Projekt-IAM-Administrator".

Event Threat Detection testen

Um Event Threat Detection zu testen, erstellen Sie einen Testnutzer, gewähren Berechtigungen und das Ergebnis in der Google Cloud Console und in Cloud Logging ansehen.

Schritt 1: Testnutzer erstellen

Um den Detektor auszulösen, benötigen Sie einen Testnutzer mit einer E-Mail-Adresse von gmail.com. Sie können ein gmail.com-Konto erstellen und diesem dann Zugriff auf das Projekt gewähren, in dem Sie den Test durchführen möchten. Stellen Sie sicher, dass dieses gmail.com-Konto nicht bereits über IAM-Berechtigungen in dem Projekt verfügen, in dem Sie den Test durchführen.

Schritt 2: IAM Anomalous Grant-Detektor auslösen

Auslöser für ungewöhnliche IAM-Berechtigungen durch Einladen der gmail.com-E-Mail-Adresse auslösen in die Rolle des Projektinhabers.

1. Rufen Sie in der Google Cloud Console die Seite IAM & Verwaltung auf.
   Zur Seite IAM & Verwaltung
2. Klicken Sie auf der Seite IAM und Verwaltung auf Hinzufügen.
3. Geben Sie im Fenster Hauptkonto hinzufügen unter Neue Hauptkonten die gmail.com-Adresse des Testnutzers ein.
4. Wählen Sie unter Rolle auswählen die Option Projekt > Inhaber.
5. Klicken Sie auf Speichern.

Als Nächstes prüfen Sie, ob der Detektor für IAM-Anomale Erteilungen ein Ergebnis geschrieben hat.

Schritt 3: Ergebnis in Security Command Center ansehen

So rufen Sie das Event Threat Detection-Ergebnis in Security Command Center auf:

1. Wechseln Sie in der Google Cloud Console zur Seite Ergebnisse des Security Command Center.

   Zu Ergebnissen

2. Wählen Sie im Bereich Schnellfilter unter Kategorie Persistenz: Ungewöhnliche IAM-Berechtigung. Klicken Sie gegebenenfalls auf Mehr anzeigen. um sie zu finden. Der Bereich Abfrageergebnisse wird aktualisiert und zeigt jetzt nur noch der ausgewählten Ergebniskategorie.

3. Um die Liste im Bereich Ergebnisse der Ergebnisabfrage zu sortieren, klicken Sie auf das Ereigniszeit, sodass das neueste Ergebnis zuerst angezeigt wird.

4. Zeigen Sie im Bereich Ergebnisse der Ergebnisabfrage die Details zum Ergebnis an. Klicken Sie dazu in der Spalte Kategorie auf Persistenz: Anomale IAM-Berechtigung. Der Detailbereich für das Ergebnis wird geöffnet und zeigt den Tab Zusammenfassung an.

5. Prüfen Sie den Wert in der Zeile E-Mail-Adresse des Hauptkontos. Das sollte der Test gmail.com-E-Mail-Adresse an, der Sie die Inhaberschaft gewährt haben.

Wenn kein Ergebnis vorhanden ist, das mit Ihrem gmail.com-Testkonto übereinstimmt, prüfen Sie Ihre Einstellungen für die Event Threat Detection.

Schritt 4: Ergebnis in Cloud Logging ansehen

Wenn Sie das Logging von Ergebnissen in Cloud Logging aktiviert haben, können Sie die zu finden. Das Ansehen von Logging-Ergebnissen in Cloud Logging verfügbar, wenn Sie die Premium-Stufe von Security Command Center aktivieren Organisationsebene.

1. Rufen Sie in der Google Cloud Console den Log-Explorer auf.

   Zum Log-Explorer

2. Wählen Sie in der Projektauswahl oben auf der Seite das Projekt aus, in dem Sie die Event Threat Detection-Logs speichern.

3. Klicken Sie auf den Tab Query Builder.

4. Wählen Sie in der Drop-down-Liste Ressource die Option Threat Detector aus.

5. Wählen Sie unter Detektorname die Option iam_anomalous_grant aus und klicken Sie dann auf Hinzufügen. Die Abfrage wird im Textfeld des Query Builders angezeigt.

6. Alternativ können Sie die folgende Abfrage in das Textfeld eingeben:

   resource.type="threat_detector" resource.labels.detector_name="iam_anomalous_grant"
   

7. Klicken Sie auf Abfrage ausführen. Die Tabelle Abfrageergebnisse wird mit den ausgewählten Logs aktualisiert.

8. Zum Aufrufen eines Logs klicken Sie auf eine Tabellenzeile und dann auf Verschachtelte Felder erweitern.

Wenn Sie kein Ergebnis für die IAM-Regel "Anomalie-Grants" sehen, prüfen Sie Ihre Einstellungen für Event Threat Detection.

Bereinigen

Wenn Sie mit dem Testen fertig sind, entfernen Sie den Testnutzer aus dem Projekt.

1. Rufen Sie in der Google Cloud Console die Seite IAM & Verwaltung auf.
   Zur Seite IAM & Verwaltung
2. Klicken Sie neben der Gmail-Adresse des Testnutzers auf Bearbeiten.
3. Klicken Sie im eingeblendeten Fenster Berechtigungen bearbeiten für alle dem Testnutzer zugewiesenen Rollen auf Löschen.
4. Klicken Sie auf Speichern.

Nächste Schritte

• Weiter Informationen zu Event Threat Detection verwenden
• Lesen Sie eine allgemeine Übersicht über Event Threat Detection-Konzepte.
• Weitere Informationen zum Untersuchen und Entwickeln von Reaktionsplänen für Bedrohungen.