Verifica que Event Threat Detection funcione y active intencionalmente el detector de Otorgamiento anómalo de IAM y controle los resultados.
Event Threat Detection es un servicio integrado para el nivel Premium de Security Command Center que supervisa las transmisiones de registros de Cloud Logging y Google Workspace de tu organización y detecta amenazas casi en tiempo real. Para obtener más información, consulta Descripción general de Event Threat Detection.
Antes de comenzar
Para ver los resultados de Event Threat Detection, el servicio debe estar habilitado en la configuración de Servicios del Security Command Center.
Para completar esta guía, debes tener una función de administración de identidades y accesos (IAM) con el permiso resourcemanager.projects.setIamPolicy
, como la función de administrador de IAM del proyecto.
Probar Event Threat Detection
Para probar Event Threat Detection, crea un usuario de prueba, otorga permisos y, luego, Ver el hallazgo en la consola de Google Cloud y en Cloud Logging
Paso 1: Crea un usuario de prueba
Para activar el detector, necesitarás un usuario de prueba con una dirección de correo electrónico de gmail.com. Puedes crear una cuenta de gmail.com y otorgarle acceso al proyecto en el que deseas realizar la prueba. Asegúrate de que esta cuenta de gmail.com no tenga tener permisos de IAM en el proyecto en el que realizas la prueba.
Paso 2: Activa el detector de otorgamiento de IAM anómalo
Activa el detector de otorgamiento anómalo de IAM mediante una invitación a la dirección de correo electrónico de gmail.com. al rol Propietario del proyecto.
- Ve a la página IAM y administración en la consola de Google Cloud.
Ir a la página de IAM y administración - En la página IAM y administración, haz clic en Agregar.
- En la ventana Agregar principales, en Principales nuevas, ingresa la dirección gmail.com del usuario de prueba.
- En Selecciona un rol, elige Proyecto > Propietario:
- Haz clic en Guardar.
A continuación, debes verificar que el detector de otorgamiento anómalo de IAM haya escrito un hallazgo.
Paso 3: Visualiza los hallazgos en Security Command Center
Para ver el hallazgo de Event Threat Detection en Security Command Center, haz lo siguiente:
Ve a la pestaña Resultados de Security Command Center en la consola de Google Cloud.
En la sección Categoría del panel Filtros rápidos, selecciona Persistencia: Otorgamiento anómalo de IAM. Si es necesario, haz clic en Ver más. de encontrarlo. El panel Resultados de la búsqueda se actualiza para mostrar solo la categoría de hallazgo seleccionada.
Para ordenar la lista en el panel Resultados de la búsqueda, haz clic en Hora del evento para que se muestre primero el hallazgo más reciente.
En el panel Resultados de la búsqueda, muestra los detalles del resultado. haciendo clic en Persistencia: Otorgamiento anómalo de IAM en la columna Categoría. Se abre el panel de detalles para el hallazgo y se muestra la pestaña Resumen.
Verifica el valor en la fila Correo electrónico principal. Debe ser la dirección de correo electrónico de prueba de gmail.com a la que le otorgaste la propiedad.
Si un resultado no coincide con tu cuenta de gmail.com de prueba, verifica tu configuración de Event Threat Detection.
Paso 4: Visualiza el resultado en Cloud Logging
Si habilitaste los hallazgos de registros en Cloud Logging, puedes ver los que encuentras ahí. La visualización de los resultados de registro en Cloud Logging solo está disponible si activas el nivel Premium de Security Command Center a nivel de la organización.
Ve al Explorador de registros en la consola de Google Cloud.
En el Selector de proyectos en la parte superior de la página, selecciona el proyecto en el que almacenas los registros de Event Threat Detection.
Haz clic en la pestaña Compilador de consultas.
En la lista desplegable de recursos, selecciona Threat Detector.
En Nombre del detector, selecciona iam_anomalous_grant y haz clic en Agregar. La consulta aparece en el cuadro de texto del compilador de consultas.
También puedes ingresar la siguiente consulta en el cuadro de texto:
resource.type="threat_detector" resource.labels.detector_name="iam_anomalous_grant"
Haga clic en Ejecutar consulta. La tabla Resultados de la consulta se actualiza con los registros que seleccionaste.
Para ver un registro, haz clic en una fila de la tabla y, luego, en Expandir campos anidados.
Si no ves un resultado para la regla de otorgamiento anómalo de IAM, verifica la configuración de detección de amenazas de eventos.
Limpia
Cuando finalices la prueba, quita el usuario de prueba del proyecto.
- Ve a la página IAM y administración en la consola de Google Cloud.
Ir a la página de IAM y administración - Junto a la dirección de gmail.com del usuario de prueba, haz clic en Editar.
- En el panel permiso de edición que aparece, haz clic en Borrar para todas las funciones otorgadas al usuario de prueba.
- Haga clic en Save.
¿Qué sigue?
- Obtén más información para usar Event Threat Detection.
- Lee una descripción general de alto nivel de Conceptos de Event Threat Detection.
- Obtén información para investigar y desarrollar planes de respuesta para las amenazas.