Event Threat Detection testen

>

Prüfen Sie, ob die Event Threat Detection funktioniert, indem Sie absichtlich den IAM-Detektor "Anomalous Grant" auslösen und nach Ergebnissen suchen. Event Threat Detection ist ein integrierter Dienst für die Premium-Stufe von Security Command Center. Damit Sie die Ergebnisse von Event Threat Detection aufrufen können, muss dieser Dienst in Security Command Center in den Einstellungen unter Quellen & Dienste aktiviert sein.

Hinweis

Sie können diese Anleitung nur ausführen, wenn Sie eine IAM-Rolle (Identity and Access Management) mit der Berechtigung resourcemanager.projects.setIamPolicy haben, z. B. die Rolle "Projekt-IAM-Administrator".

Event Threat Detection testen

Zum Testen von Event Threat Detection erstellen Sie einen Testnutzer, erteilen Berechtigungen und prüfen dann das Ergebnis im Security Command Center-Dashboard und in Cloud Logging.

Schritt 1: Testnutzer erstellen

Um den Detektor auszulösen, benötigen Sie einen Testnutzer mit einer E-Mail-Adresse von gmail.com. Sie können ein gmail.com-Konto erstellen und diesem dann Zugriff auf das Projekt gewähren, in dem Sie den Test durchführen möchten.

  1. Rufen Sie in der Cloud Console die Seite IAM & Verwaltung auf.
    Zur Seite "IAM & Verwaltung"
  2. Klicken Sie auf der Seite IAM und Verwaltung auf Hinzufügen.
  3. Geben Sie im Fenster Mitglieder hinzufügen unter Neue Mitglieder die gmail.com-Adresse des Testnutzers ein.
  4. Wählen Sie unter Rolle auswählen die Option Projekt > Browser.
  5. Klicken Sie auf Speichern.

Schritt 2: IAM Anomalie-Grants-Detektor auslösen

Lösen Sie den IAM Anomalie-Grants-Detektor aus, indem Sie einer gmail.com-E-Mail-Adresse die Rolle "Projektbearbeiter" zuweisen. Hinweis: Derzeit wird dieses Ergebnis nur für Security Command Center-Nutzer mit einer gmail.com-E-Mail-Adresse ausgelöst.

  1. Rufen Sie in der Cloud Console die Seite IAM & Verwaltung auf.
    Zur Seite "IAM & Verwaltung"
  2. Klicken Sie neben der Gmail-Adresse des Testnutzers auf Bearbeiten.
  3. Klicken Sie im Bereich Berechtigungen bearbeiten auf Weitere Rolle hinzufügen.
  4. Wählen Sie Projekt > Bearbeiter aus.
  5. Klicken Sie auf Speichern.

Als Nächstes prüfen Sie, ob der IAM Anomalie-Grants-Detektor Ergebnisse geschrieben hat.

Schritt 3: Ergebnis in Security Command Center ansehen

So rufen Sie das Event Threat Detection-Ergebnis auf (Security Command Center):

  1. Wechseln Sie in der Cloud Console zum Tab Ergebnisse des Security Command Center.
    Zu den Ergebnissen
  2. Klicken Sie neben Anzeigen nach auf Quelltyp.
  3. Wählen Sie in der Liste Quelltyp die Option Event Threat Detection aus.
  4. Geben Sie im Feld Filter category:iam ein.
  5. Sortieren Sie die Liste, indem Sie auf die Spaltenüberschrift eventTime klicken, damit das neueste Ergebnis zuerst angezeigt wird.
  6. Klicken Sie auf den Namen des Ergebnistyps Persistence: Iam Anomalie-Grants, um das Feld Ergebnisdetails aufzurufen.
  7. Klicken Sie im Bereich Ergebnisdetails auf Quell-Properties. Das Feld properties sollte die E-Mail-Adresse des Testnutzers anzeigen, dem Sie Berechtigungen erteilt haben.

Wenn kein Ergebnis vorhanden ist, das mit Ihrem gmail.com-Testkonto übereinstimmt, prüfen Sie Ihre Einstellungen für die Event Threat Detection.

Schritt 3: Ergebnis in Cloud Logging anzeigen

Wenn Sie Logging-Ergebnisse in Cloud Logging aktiviert haben, können Sie sich die Ergebnisse dort ansehen.

  1. Rufen Sie in der Cloud Console die Cloud Logging-Seite Loganzeige auf.
    Zur Seite "Loganzeige"
  2. Klicken Sie auf der Seite Loganzeige auf Auswählen und dann auf das Projekt, in dem Sie Ihre Event Threat Detection-Logs speichern.
  3. Wählen Sie in der Drop-down-Liste "Ressource" die Option Cloud Threat Detector und dann iam_anomalous_grant aus.
  4. Klicken Sie zur Anzeige des Logs auf den Lognamen und anschließend auf Alle einblenden.

Wenn Sie kein Ergebnis für die IAM-Regel "Anomalie-Grants" sehen, prüfen Sie Ihre Einstellungen für Event Threat Detection.

Clean-up

Nach Abschluss des Tests können Sie den Testnutzer aus dem Projekt entfernen.

  1. Rufen Sie in der Cloud Console die Seite IAM & Verwaltung auf.
    Zur Seite "IAM & Verwaltung"
  2. Klicken Sie neben der Gmail-Adresse des Testnutzers auf Bearbeiten.
  3. Klicken Sie im eingeblendeten Fenster Berechtigungen bearbeiten für alle dem Testnutzer zugewiesenen Rollen auf Löschen.
  4. Klicken Sie auf Speichern.

Nächste Schritte