Event Threat Detection testen

Prüfen Sie, ob die Event Threat Detection funktioniert, indem Sie absichtlich den IAM-Detektor "Anomalous Grant" auslösen und nach Ergebnissen suchen.

Event Threat Detection ist ein integrierter Dienst für die Premium-Stufe des Security Command Center. Sie überwacht die Logging-Streams von Cloud Logging und Google Workspace Ihrer Organisation und erkennt Bedrohungen nahezu in Echtzeit. Weitere Informationen finden Sie unter Event Threat Detection – Übersicht.

Hinweis

Damit Ergebnisse von Event Threat Detection angezeigt werden können, muss der Dienst in den Services-Einstellungen von Security Command Center aktiviert sein.

Sie können diese Anleitung nur ausführen, wenn Sie eine IAM-Rolle (Identity and Access Management) mit der Berechtigung resourcemanager.projects.setIamPolicy haben, z. B. die Rolle "Projekt-IAM-Administrator".

Event Threat Detection testen

Um Event Threat Detection zu testen, erstellen Sie einen Testnutzer, gewähren Berechtigungen und Sehen Sie sich das Ergebnis in der Google Cloud Console und in Cloud Logging an.

Schritt 1: Testnutzer erstellen

Um den Detektor auszulösen, benötigen Sie einen Testnutzer mit einer E-Mail-Adresse von gmail.com. Sie können ein gmail.com-Konto erstellen und diesem dann Zugriff auf das Projekt gewähren, in dem Sie den Test durchführen möchten. Stellen Sie sicher, dass dieses gmail.com-Konto nicht bereits über IAM-Berechtigungen in dem Projekt verfügen, in dem Sie den Test durchführen.

Schritt 2: IAM Anomalous Grant-Detektor auslösen

Lösen Sie den IAM Anomalie-Grants-Detektor aus, indem Sie die E-Mail-Adresse von gmail.com zur Rolle „Project Owner“ einladen.

  1. Rufen Sie in der Google Cloud Console die Seite IAM & Verwaltung auf.
    Zur Seite IAM & Verwaltung
  2. Klicken Sie auf der Seite IAM und Verwaltung auf Hinzufügen.
  3. Geben Sie im Fenster Hauptkonto hinzufügen unter Neue Hauptkonten die gmail.com-Adresse des Testnutzers ein.
  4. Wählen Sie unter Rolle auswählen die Option Projekt > Inhaber.
  5. Klicken Sie auf Speichern.

Als Nächstes prüfen Sie, ob der IAM Anomalie-Grants-Detektor ein Ergebnis ausgegeben hat.

Schritt 3: Ergebnis in Security Command Center ansehen

So rufen Sie das Event Threat Detection-Ergebnis in Security Command Center auf:

  1. Wechseln Sie in der Google Cloud Console zur Seite Ergebnisse des Security Command Center.

    Zu Ergebnissen

  2. Wählen Sie im Bereich Schnellfilter unter Kategorie Persistenz: Ungewöhnliche IAM-Berechtigung. Klicken Sie bei Bedarf auf Mehr anzeigen, um sie zu finden. Der Bereich Abfrageergebnisse wird aktualisiert und zeigt jetzt nur noch der ausgewählten Ergebniskategorie.

  3. Um die Liste im Bereich Ergebnisse der Ergebnisabfrage zu sortieren, klicken Sie auf das Ereigniszeit, sodass das neueste Ergebnis zuerst angezeigt wird.

  4. Klicken Sie im Bereich Ergebnisse der Ergebnisabfrage in der Spalte Kategorie auf Persistenz: Ungewöhnliche IAM-Gewährung, um die Details des Ergebnisses aufzurufen. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.

  5. Prüfen Sie den Wert in der Zeile Haupt-E-Mail-Adresse. Das sollte der Test gmail.com-E-Mail-Adresse an, der Sie die Inhaberschaft gewährt haben.

Wenn kein Ergebnis vorhanden ist, das mit Ihrem gmail.com-Testkonto übereinstimmt, prüfen Sie Ihre Einstellungen für die Event Threat Detection.

Schritt 4: Ergebnis in Cloud Logging ansehen

Wenn Sie Logging-Ergebnisse in Cloud Logging aktiviert haben, können Sie sich die Ergebnisse dort ansehen. Sie können Protokollergebnisse in Cloud Logging nur aufrufen, wenn Sie die Premium-Stufe von Security Command Center auf Organisationsebene aktivieren.

  1. Rufen Sie in der Google Cloud Console den Log-Explorer auf.

    Zum Log-Explorer

  2. Wählen Sie in der Projektauswahl oben auf der Seite das Projekt aus, in dem Sie die Event Threat Detection-Logs speichern.

  3. Klicken Sie auf den Tab Query Builder.

  4. Wählen Sie in der Drop-down-Liste Ressource die Option Threat Detector aus.

  5. Wählen Sie unter Detektorname die Option iam_anomalous_grant aus und klicken Sie dann auf Hinzufügen. Die Abfrage wird im Textfeld des Query Builders angezeigt.

  6. Alternativ können Sie die folgende Abfrage in das Textfeld eingeben:

    resource.type="threat_detector" resource.labels.detector_name="iam_anomalous_grant"

  7. Klicken Sie auf Abfrage ausführen. Die Tabelle Abfrageergebnisse wird mit den ausgewählten Logs aktualisiert.

  8. Zum Aufrufen eines Logs klicken Sie auf eine Tabellenzeile und dann auf Verschachtelte Felder erweitern.

Wenn Sie kein Ergebnis für die IAM-Regel "Anomalie-Grants" sehen, prüfen Sie Ihre Einstellungen für Event Threat Detection.

Bereinigen

Nach Abschluss des Tests können Sie den Testnutzer aus dem Projekt entfernen.

  1. Rufen Sie in der Google Cloud Console die Seite IAM & Verwaltung auf.
    Zur Seite IAM & Verwaltung
  2. Klicken Sie neben der Gmail-Adresse des Testnutzers auf Bearbeiten.
  3. Klicken Sie im eingeblendeten Fenster Berechtigungen bearbeiten für alle dem Testnutzer zugewiesenen Rollen auf Löschen.
  4. Klicken Sie auf Speichern.

Nächste Schritte