Menguji Event Threat Detection

Pastikan Event Threat Detection berfungsi dengan sengaja memicu pendeteksi IAM Anomalous Grant dan memeriksa temuan.

Event Threat Detection adalah layanan bawaan untuk paket Security Command Center Premium yang memantau aliran logging Cloud Logging dan Google Workspace organisasi Anda serta mendeteksi ancaman secara hampir real time. Untuk mempelajari lebih lanjut, baca ringkasan Event Threat Detection.

Sebelum memulai

Untuk melihat temuan Event Threat Detection, layanan harus diaktifkan di setelan Layanan Security Command Center.

Untuk menyelesaikan panduan ini, Anda harus memiliki peran Identity and Access Management (IAM) dengan izin resourcemanager.projects.setIamPolicy, seperti peran Admin IAM Project.

Menguji Event Threat Detection

Untuk menguji Event Threat Detection, Anda membuat pengguna pengujian, memberikan izin, lalu melihat temuan di konsol Google Cloud dan di Cloud Logging.

Langkah 1: Membuat pengguna pengujian

Untuk memicu detektor, Anda memerlukan pengguna pengujian dengan alamat email gmail.com. Anda dapat membuat akun gmail.com, lalu memberikan akses ke project tempat Anda ingin melakukan pengujian. Pastikan akun gmail.com ini belum memiliki izin IAM apa pun di project tempat Anda melakukan pengujian.

Langkah 2: Memicu pendeteksi IAM Anomalous Grant

Picu pendeteksi IAM Anomalous Grant dengan mengundang alamat email gmail.com ke peran Project Owner.

1. Buka halaman IAM & Admin di konsol Google Cloud.
   Buka halaman IAM & Admin
2. Di halaman IAM & Admin, klik Add.
3. Di jendela Add principals, pada bagian New principals, masukkan alamat gmail.com pengguna pengujian.
4. Di bagian Pilih peran, pilih Project > Pemilik.
5. Klik Simpan.

Selanjutnya, Anda memverifikasi bahwa detektor IAM Anomalous Grant telah menulis temuan.

Langkah 3: Melihat temuan di Security Command Center

Untuk melihat temuan Event Threat Detection di Security Command Center:

1. Buka halaman Temuan Security Command Center di konsol Google Cloud.

   Buka Temuan

2. Di bagian Kategori pada panel Filter cepat, pilih Persistensi: IAM anomalous grant. Jika perlu, klik Lihat lainnya untuk menemukannya. Panel Hasil kueri temuan diperbarui untuk hanya menampilkan kategori temuan yang dipilih.

3. Untuk mengurutkan daftar di panel Hasil kueri temuan, klik header kolom Waktu peristiwa sehingga temuan terbaru ditampilkan terlebih dahulu.

4. Di panel Hasil kueri temuan, tampilkan detail temuan dengan mengklik Persistence: IAM Anomalous Grant di kolom Category. Panel detail untuk temuan akan terbuka dan menampilkan tab Ringkasan.

5. Periksa nilai di baris Email kepala sekolah. Alamat ini harus berupa alamat email gmail.com pengujian yang Anda berikan kepemilikannya.

Jika tidak ada temuan yang cocok dengan akun gmail.com pengujian Anda, verifikasi setelan Deteksi Ancaman Peristiwa.

Langkah 4: Melihat temuan di Cloud Logging

Jika Anda mengaktifkan temuan logging ke Cloud Logging, Anda dapat melihat temuan tersebut di sana. Melihat temuan logging di Cloud Logging hanya tersedia jika Anda mengaktifkan paket Premium Security Command Center di level organisasi.

1. Buka Logs Explorer di konsol Google Cloud.

   Buka Logs Explorer

2. Pilih project Google Cloud tempat Anda menyimpan log Event Threat Detection.

3. Gunakan panel Kueri untuk membuat kueri dengan salah satu cara berikut:

   • Dalam daftar Semua resource, lakukan tindakan berikut:
     1. Pilih Pendeteksi Ancaman untuk menampilkan daftar semua pendeteksi.
     2. Di bagian DETECTOR_NAME, pilih iam_anomalous_grant.
     3. Klik Terapkan. Tabel Hasil kueri diperbarui dengan log yang Anda pilih.

   • Masukkan kueri berikut di editor kueri, lalu klik Run query:

     resource.type="threat_detector"

     Tabel Hasil kueri diperbarui dengan log yang Anda pilih.

4. Untuk melihat log, klik baris tabel, lalu klik Luaskan kolom bertingkat.

Jika Anda tidak melihat temuan untuk aturan IAM Anomalous Grant, verifikasi setelan Event Threat Detection Anda.

Pembersihan

Setelah selesai melakukan pengujian, hapus pengguna pengujian dari project.

1. Buka halaman IAM & Admin di konsol Google Cloud.
   Buka halaman IAM & Admin
2. Di samping alamat gmail.com pengguna pengujian, klik Edit.
3. Di panel Edit izin yang muncul, klik Hapus untuk semua peran yang diberikan kepada pengguna pengujian.
4. Klik Simpan.

Langkah selanjutnya

• Pelajari lebih lanjut cara menggunakan Event Threat Detection.
• Baca ringkasan tingkat tinggi tentang konsep Event Threat Detection.
• Pelajari cara menyelidiki dan mengembangkan rencana respons untuk ancaman.