Verifique se o Event Threat Detection está funcionando acionando intencionalmente o detector de concessão de anomalias do IAM e verificando se há descobertas.
O Event Threat Detection é um serviço integrado para o nível Premium do Security Command Center que monitora os streams de registros do Cloud Logging e do Google Workspace da organização e detecta ameaças quase em tempo real. Para saber mais, leia Visão geral do Event Threat Detection.
Antes de começar
Para ver as descobertas do Event Threat Detection, o serviço precisa estar ativado nas configurações Serviços do Security Command Center.
Para concluir este guia, é preciso ter um papel de Gerenciamento de identidade e acesso (IAM, na sigla em inglês)
com a permissão resourcemanager.projects.setIamPolicy, como o papel Administrador
de IAM do projeto.
Como testar o Event Threat Detection
Para testar o Event Threat Detection, crie um usuário de teste, conceda permissões e veja a descoberta no Console do Google Cloud e no Cloud Logging.
Etapa 1: como criar um usuário de teste
Para acionar o detector, você precisa de um usuário de teste com um endereço de e-mail gmail.com. Crie uma conta do gmail.com e conceda acesso ao projeto em que você quer executar o teste. Verifique se essa conta do gmail.com ainda não tem permissões do IAM no projeto em que você está executando o teste.
Etapa 2: como acionar o detector de concessões anômalas do IAM
Acione o detector de concessão anômala do IAM ao convidar o endereço de e-mail gmail.com para o papel de proprietário do projeto.
- Acesse a página IAM e administrador no
console do Google Cloud.
Acessar a página "IAM e administrador" - Na página IAM e administrador, clique em Adicionar.
- Na janela Adicionar membros, em Novos membros, digite o endereço do gmail.com do usuário de teste.
- Em Selecionar um papel, selecione Projeto > Proprietário.
- Clique em Save.
Em seguida, você verifica se o detector de concessão anômala de IAM criou uma descoberta.
Etapa 3: como ver a descoberta no Security Command Center
Para ver a descoberta do Event Threat Detection em Security Command Center:
Acesse a página Descobertas do Security Command Center no Console do Google Cloud.
Na seção Categoria do painel Filtros rápidos, selecione Persistência: concessão anômala do IAM. Se necessário, clique em Saber mais para encontrá-la. O painel Resultados da consulta de descobertas é atualizado para mostrar apenas a categoria de descoberta selecionada.
Para classificar a lista no painel Resultados da consulta de descobertas, clique no cabeçalho da coluna Horário do evento para que a descoberta mais recente seja exibida primeiro.
No painel Resultados da consulta de descobertas, exiba os detalhes da descoberta clicando em Persistência: concessão anômala do IAM na coluna Categoria. O painel de detalhes da descoberta é aberto e exibe a guia Resumo.
Verifique o valor na linha E-mail principal. Precisa ser o endereço de e-mail de teste gmail.com a que você concedeu a propriedade.
Se uma descoberta não corresponder à conta de teste do gmail.com, verifique as configurações do Event Threat Detection.
Etapa 4: como visualizar a descoberta no Cloud Logging
Se você ativou as descobertas de registro no Cloud Logging, será possível visualizá-las. A visualização das descobertas de geração de registros no Cloud Logging só estará disponível se você ativar o nível Premium do Security Command Center Premium no nível da organização.
Acesse o Explorador de registros no console do Google Cloud.
No Seletor de projetos, na parte superior da página, selecione o projeto em que você está armazenando os registros do Event Threat Detection.
Clique na guia Criador de consultas.
Na lista suspensa Recursos, selecione Detector de Ameaças.
Em Nome do detector, selecione iam_anomalous_grant e clique em Adicionar. A consulta aparece na caixa de texto do criador de consultas.
Como alternativa, insira a seguinte consulta na caixa de texto:
resource.type="threat_detector" resource.labels.detector_name="iam_anomalous_grant"
Clique em Run. A tabela Resultados da consulta é atualizada com os registros selecionados por você.
Para visualizar um registro, clique em uma linha da tabela e, em seguida, clique em Expandir campos aninhados
Se você não encontrar uma descoberta para a regra de concessão anômalas do IAM, verifique as configurações do Event Threat Detection.
Limpar
Quando terminar o teste, remova o usuário de teste da organização.
- Acesse a página IAM e administrador no
console do Google Cloud.
Acessar a página "IAM e administrador" - Ao lado do endereço gmail.com do usuário de teste, clique em Editar.
- No painel Editar permissões exibido, clique em Excluir para todos os papéis concedidos ao usuário de teste.
- Clique em Save.
A seguir
- Saiba mais sobre como usar o Event Threat Detection.
- Leia uma visão geral de alto nível dos conceitos do Event Threat Detection.
- Saiba como investigar e desenvolver planos de resposta em busca de ameaças.