Probar Event Threat Detection

Verifica que Event Threat Detection funcione y active intencionalmente el detector de Otorgamiento anómalo de IAM y controle los resultados.

Event Threat Detection es un servicio integrado para el nivel Premium de Security Command Center que supervisa las transmisiones de registros de Cloud Logging y Google Workspace de tu organización y detecta amenazas casi en tiempo real. Para obtener más información, consulta Descripción general de Event Threat Detection.

Antes de comenzar

Para ver los resultados de Event Threat Detection, el servicio debe estar habilitado en la configuración de Servicios del Security Command Center.

Para completar esta guía, debes tener una función de administración de identidades y accesos (IAM) con el permiso resourcemanager.projects.setIamPolicy, como la función de administrador de IAM del proyecto.

Probar Event Threat Detection

Para probar Event Threat Detection, crea un usuario de prueba, otorga permisos y, luego, visualiza los resultados en el panel de Security Command Center y en Cloud Logging.

Paso 1: Crea un usuario de prueba

Para activar el detector, necesitarás un usuario de prueba con una dirección de correo electrónico de gmail.com. Puedes crear una cuenta de gmail.com y otorgarle acceso al proyecto en el que deseas realizar la prueba.

  1. Ve a la página IAM y administración en Cloud Console.
    Ir a la página de IAM y administración
  2. En la página IAM y administración, haz clic en Agregar.
  3. En la ventana Agregar principales, en Principales nuevos, ingresa la dirección gmail.com del usuario de prueba.
  4. En Seleccionar una función, selecciona Proyecto > Navegador.
  5. Haga clic en Save.

Paso 2: Activa el detector de otorgamiento de IAM anómalo

Activa el detector de Otorgamiento anómalo de IAM, y otorga la función de Editor del proyecto a una dirección de correo electrónico de gmail.com. Nota: Por el momento, este resultado solo se activa para los usuarios de Security Command Center con una dirección de correo electrónico de gmail.com.

  1. Ve a la página IAM y administración en Cloud Console.
    Ir a la página de IAM y administración
  2. Junto a la dirección de gmail.com del usuario de prueba, haz clic en Editar.
  3. En el panel Editar permisos que aparecerá, haz clic en Agregar otra función.
  4. Selecciona Project > Editor.
  5. Haga clic en Save.

A continuación, verifica que el detector de otorgamiento de otorgamiento de IAM, tenga resultados escritos.

Paso 3: Visualiza los hallazgos en Security Command Center

Para ver el resultado de la detección de eventos de amenazas en (Security Command Center):

  1. Ve a la pestaña Resultados de Security Command Center en Cloud Console.
    Ir a los resultados
  2. Junto a Ver por, haz clic en Tipo de fuente.
  3. En la lista Tipo de fuente, selecciona Detección de amenazas en eventos.
  4. En la casilla de filtro, ingresa category:iam.
  5. Para ordenar la lista, haz clic en el encabezado de la columna eventTime a fin de que aparezca primero el resultado más reciente.
  6. Haz clic en el nombre del tipo de búsqueda Persistence: Otorgamiento anómalo de IAM para mostrar el panel Detalles de los resultados.
  7. En el panel Detalles de los resultados, haz clic en Propiedades de origen. En el campo properties, se debe mostrar la dirección de correo electrónico de prueba de gmail.com para la que le otorgaste permisos.

Si un resultado no coincide con tu cuenta de gmail.com de prueba, verifica tu configuración de Event Threat Detection.

Paso 4: Visualiza el resultado en Cloud Logging

Si habilitaste los resultados de los registros en Cloud Logging, puedes verlos allí.

  1. Ve al Explorador de registros en Cloud Console.

    Ir al Explorador de registros

  2. En el Selector de proyectos en la parte superior de la página, selecciona el proyecto en el que almacenas los registros de Event Threat Detection.

  3. Haz clic en la pestaña Compilador de consultas.

  4. En la lista desplegable de recursos, selecciona Threat Detector.

  5. En Nombre del detector, selecciona iam_anomalous_grant y haz clic en Agregar. La consulta aparece en el cuadro de texto del compilador de consultas.

  6. También puedes ingresar la siguiente consulta en el cuadro de texto:

    resource.type="threat_detector" resource.labels.detector_name="iam_anomalous_grant"
    

  7. Haga clic en Ejecutar consulta. La tabla Resultados de la consulta se actualiza con los registros que seleccionaste.

  8. Para ver un registro, haz clic en una fila de la tabla y, luego, en Expandir campos anidados.

Si no ves un resultado para la regla de otorgamiento anómalo de IAM, verifica la configuración de detección de amenazas de eventos.

Limpia

Cuando finalices la prueba, puedes quitar el usuario de prueba del proyecto.

  1. Ve a la página IAM y administración en Cloud Console.
    Ir a la página de IAM y administración
  2. Junto a la dirección de gmail.com del usuario de prueba, haz clic en Editar.
  3. En el panel permiso de edición que aparece, haz clic en Borrar para todas las funciones otorgadas al usuario de prueba.
  4. Haga clic en Save.

¿Qué sigue?