Event Threat Detection testen

Prüfen Sie, ob die Event Threat Detection funktioniert, indem Sie absichtlich den IAM-Detektor "Anomalous Grant" auslösen und nach Ergebnissen suchen.

Event Threat Detection ist ein integrierter Dienst für die Premium-Stufe des Security Command Center. Sie überwacht die Logging-Streams von Cloud Logging und Google Workspace Ihrer Organisation und erkennt Bedrohungen nahezu in Echtzeit. Weitere Informationen finden Sie unter Event Threat Detection – Übersicht.

Hinweise

Damit Ergebnisse von Event Threat Detection angezeigt werden können, muss der Dienst in den Services-Einstellungen von Security Command Center aktiviert sein.

Sie können diese Anleitung nur ausführen, wenn Sie eine IAM-Rolle (Identity and Access Management) mit der Berechtigung resourcemanager.projects.setIamPolicy haben, z. B. die Rolle "Projekt-IAM-Administrator".

Event Threat Detection testen

Zum Testen von Event Threat Detection erstellen Sie einen Testnutzer, gewähren Berechtigungen und sehen sich das Ergebnis in der Google Cloud Console und in Cloud Logging an.

Schritt 1: Testnutzer erstellen

Um den Detektor auszulösen, benötigen Sie einen Testnutzer mit einer E-Mail-Adresse von gmail.com. Sie können ein gmail.com-Konto erstellen und diesem dann Zugriff auf das Projekt gewähren, in dem Sie den Test durchführen möchten. Achten Sie darauf, dass dieses gmail.com-Konto noch keine IAM-Berechtigungen in dem Projekt hat, in dem Sie den Test durchführen.

Schritt 2: IAM Anomalous Grant-Detektor auslösen

Lösen Sie den Detektor „IAM Anomalous Grant“ aus, indem Sie der E-Mail-Adresse gmail.com die Rolle „Project Owner“ zuweisen.

1. Öffnen Sie in der Google Cloud Console die Seite IAM & Verwaltung.
   Zur Seite IAM & Verwaltung
2. Klicken Sie auf der Seite IAM und Verwaltung auf Hinzufügen.
3. Geben Sie im Fenster Hauptkonto hinzufügen unter Neue Hauptkonten die gmail.com-Adresse des Testnutzers ein.
4. Wählen Sie unter Rolle auswählen die Option Projekt > Inhaber aus.
5. Klicken Sie auf Speichern.

Als Nächstes prüfen Sie, ob der Detektor für anomale IAM-Erteilungen ein Ergebnis geschrieben hat.

Schritt 3: Ergebnis in Security Command Center ansehen

So rufen Sie das Ergebnis von Event Threat Detection in Security Command Center auf:

1. Wechseln Sie in der Google Cloud Console zur Seite Ergebnisse des Security Command Center.

   Zu Ergebnissen

2. Wählen Sie im Bereich Kategorie des Bereichs Schnellfilter die Option Persistenz: anomale IAM-Zuweisung aus. Klicken Sie gegebenenfalls auf Mehr anzeigen, um sie einzublenden. Der Bereich Ergebnisse der Abfrageergebnisse wird aktualisiert, sodass nur die ausgewählte Ergebniskategorie angezeigt wird.

3. Klicken Sie zum Sortieren der Liste im Bereich Ergebnisse der Ergebnisabfrage auf die Spaltenüberschrift Ereigniszeit, sodass das neueste Ergebnis zuerst angezeigt wird.

4. Klicken Sie im Bereich Ergebnisse der Ergebnisabfrage in der Spalte Kategorie auf Persistenz: Anomale IAM-Erteilung, um die Details des Ergebnisses anzuzeigen. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.

5. Prüfen Sie den Wert in der Zeile Haupt-E-Mail-Adresse. Es sollte die gmail.com-Test-E-Mail-Adresse sein, der Sie die Inhaberschaft zugewiesen haben.

Wenn kein Ergebnis vorhanden ist, das mit Ihrem gmail.com-Testkonto übereinstimmt, prüfen Sie Ihre Einstellungen für die Event Threat Detection.

Schritt 4: Ergebnis in Cloud Logging ansehen

Wenn Sie das Logging von Ergebnissen in Cloud Logging aktiviert haben, können Sie die Ergebnisse dort ansehen. Das Ansehen von Logging-Ergebnissen in Cloud Logging ist nur verfügbar, wenn Sie die Premium-Stufe von Security Command Center auf Organisationsebene aktivieren.

1. Rufen Sie in der Google Cloud Console den Log-Explorer auf.

   Zum Log-Explorer

2. Wählen Sie in der Projektauswahl oben auf der Seite das Projekt aus, in dem Sie die Event Threat Detection-Logs speichern.

3. Klicken Sie auf den Tab Query Builder.

4. Wählen Sie in der Drop-down-Liste Ressource die Option Threat Detector aus.

5. Wählen Sie unter Detektorname die Option iam_anomalous_grant aus und klicken Sie dann auf Hinzufügen. Die Abfrage wird im Textfeld des Query Builders angezeigt.

6. Alternativ können Sie die folgende Abfrage in das Textfeld eingeben:

   resource.type="threat_detector" resource.labels.detector_name="iam_anomalous_grant"
   

7. Klicken Sie auf Abfrage ausführen. Die Tabelle Abfrageergebnisse wird mit den ausgewählten Logs aktualisiert.

8. Zum Aufrufen eines Logs klicken Sie auf eine Tabellenzeile und dann auf Verschachtelte Felder erweitern.

Wenn Sie kein Ergebnis für die IAM-Regel "Anomalie-Grants" sehen, prüfen Sie Ihre Einstellungen für Event Threat Detection.

Bereinigen

Wenn Sie mit dem Testen fertig sind, entfernen Sie den Testnutzer aus dem Projekt.

1. Öffnen Sie in der Google Cloud Console die Seite IAM & Verwaltung.
   Zur Seite IAM & Verwaltung
2. Klicken Sie neben der Gmail-Adresse des Testnutzers auf Bearbeiten.
3. Klicken Sie im eingeblendeten Fenster Berechtigungen bearbeiten für alle dem Testnutzer zugewiesenen Rollen auf Löschen.
4. Klicken Sie auf Speichern.

Nächste Schritte

• Weiter Informationen zu Event Threat Detection verwenden
• Lesen Sie eine allgemeine Übersicht über Event Threat Detection-Konzepte.
• Weitere Informationen zum Untersuchen und Entwickeln von Reaktionsplänen für Bedrohungen.