Probar Event Threat Detection

Verifica que Event Threat Detection funcione y active intencionalmente el detector de Otorgamiento anómalo de IAM y controle los resultados.

Event Threat Detection es un servicio integrado para el nivel Premium de Security Command Center que supervisa las transmisiones de registros de Cloud Logging y Google Workspace de tu organización y detecta amenazas casi en tiempo real. Para obtener más información, consulta Descripción general de Event Threat Detection.

Antes de comenzar

Para ver los resultados de Event Threat Detection, el servicio debe estar habilitado en la configuración de Servicios del Security Command Center.

Para completar esta guía, debes tener una función de administración de identidades y accesos (IAM) con el permiso resourcemanager.projects.setIamPolicy, como la función de administrador de IAM del proyecto.

Probar Event Threat Detection

Para probar Event Threat Detection, debes crear un usuario de prueba, otorgar permisos y, luego, ver el resultado en la consola de Google Cloud y en Cloud Logging.

Paso 1: Crea un usuario de prueba

Para activar el detector, necesitarás un usuario de prueba con una dirección de correo electrónico de gmail.com. Puedes crear una cuenta de gmail.com y otorgarle acceso al proyecto en el que deseas realizar la prueba. Asegúrate de que esta cuenta gmail.com no tenga ningún permiso de IAM en el proyecto en el que realizas la prueba.

Paso 2: Activa el detector de otorgamiento de IAM anómalo

Activa el detector de otorgamiento anómalo de IAM mediante la invitación de la dirección de correo electrónico gmail.com a la función Propietario del proyecto.

1. Ve a la página IAM y administración en la consola de Google Cloud.
   Ir a la página de IAM y administración
2. En la página IAM y administración, haz clic en Agregar.
3. En la ventana Agregar principales, en Principales nuevas, ingresa la dirección gmail.com del usuario de prueba.
4. En Selecciona un rol, selecciona Proyecto > Propietario.
5. Haz clic en Guardar.

A continuación, debes verificar que el detector de otorgamiento anómalo de IAM haya escrito un resultado.

Paso 3: Visualiza los hallazgos en Security Command Center

Para ver el hallazgo de Event Threat Detection en Security Command Center, haz lo siguiente:

1. Ve a la pestaña Resultados de Security Command Center en la consola de Google Cloud.

   Ir a hallazgos

2. En la sección Categoría del panel Filtros rápidos, selecciona Persistencia: Otorgamiento anómalo de IAM. Si es necesario, haz clic en Ver más para encontrarlo. El panel Resultados de la consulta de resultados se actualiza para mostrar solo la categoría del resultado seleccionada.

3. Para ordenar la lista en el panel Resultados de la consulta, haz clic en el encabezado de la columna Hora del evento para que el resultado más reciente se muestre primero.

4. En el panel Resultados de la consulta de resultados, haz clic en Persistencia: Otorgamiento anómalo de IAM, en la columna Categoría, para ver los detalles del resultado. Se abrirá el panel de detalles del resultado y se mostrará la pestaña Resumen.

5. Verifica el valor de la fila Correo electrónico principal. Debería ser la dirección de correo electrónico de prueba de gmail.com a la que le otorgaste propiedad.

Si un resultado no coincide con tu cuenta de gmail.com de prueba, verifica tu configuración de Event Threat Detection.

Paso 4: Visualiza el resultado en Cloud Logging

Si habilitaste los resultados del registro en Cloud Logging, puedes verlos allí. La visualización de los resultados de registros en Cloud Logging solo está disponible si activas el nivel Premium de Security Command Center a nivel de la organización.

1. Ve al Explorador de registros en la consola de Google Cloud.

   Ir al Explorador de registros

2. En el Selector de proyectos en la parte superior de la página, selecciona el proyecto en el que almacenas los registros de Event Threat Detection.

3. Haz clic en la pestaña Compilador de consultas.

4. En la lista desplegable de recursos, selecciona Threat Detector.

5. En Nombre del detector, selecciona iam_anomalous_grant y haz clic en Agregar. La consulta aparece en el cuadro de texto del compilador de consultas.

6. También puedes ingresar la siguiente consulta en el cuadro de texto:

   resource.type="threat_detector" resource.labels.detector_name="iam_anomalous_grant"
   

7. Haga clic en Ejecutar consulta. La tabla Resultados de la consulta se actualiza con los registros que seleccionaste.

8. Para ver un registro, haz clic en una fila de la tabla y, luego, en Expandir campos anidados.

Si no ves un resultado para la regla de otorgamiento anómalo de IAM, verifica la configuración de detección de amenazas de eventos.

Limpia

Cuando termines la prueba, quita al usuario de prueba del proyecto.

1. Ve a la página IAM y administración en la consola de Google Cloud.
   Ir a la página de IAM y administración
2. Junto a la dirección de gmail.com del usuario de prueba, haz clic en Editar.
3. En el panel permiso de edición que aparece, haz clic en Borrar para todas las funciones otorgadas al usuario de prueba.
4. Haz clic en Guardar.

¿Qué sigue?

• Obtén más información para usar Event Threat Detection.
• Lee una descripción general de alto nivel de los conceptos de la Detección de amenazas de eventos.
• Obtén información a fin de investigar y desarrollar planes de respuesta para las amenazas.