Vérifiez que Event Threat Detection fonctionne en déclenchant intentionnellement le détecteur d'octroi anormal d'autorisations IAM et en vérifiant les résultats.
Event Threat Detection est un service intégré pour le niveau Premium de Security Command Center qui surveille les flux de journalisation Cloud Logging et Google Workspace de votre organisation et détecte les menaces presque en temps réel. Pour en savoir plus, consultez la présentation d'Event Threat Detection.
Avant de commencer
Pour afficher les résultats d'Event Threat Detection, le service doit être activé dans les paramètres Services de Security Command Center.
Pour suivre ce guide, vous devez disposer d'un rôle IAM (Identity and Access Management) disposant de l'autorisation resourcemanager.projects.setIamPolicy
, tel que le rôle Administrateur de projet IAM.
Tester Event Threat Detection
Pour tester Event Threat Detection, vous devez créer un utilisateur test, accorder des autorisations, puis afficher le résultat dans la console Google Cloud et dans Cloud Logging.
Étape 1 : Créer un utilisateur test
Pour déclencher le détecteur, vous avez besoin d'un utilisateur test disposant d'une adresse e-mail gmail.com. Vous pouvez créer un compte gmail.com, puis lui accorder l'accès au projet dans lequel vous souhaitez effectuer le test. Assurez-vous que ce compte gmail.com ne dispose pas déjà d'autorisations IAM dans le projet dans lequel vous effectuez le test.
Étape 2 : Déclencher le détecteur d'octroi anormal d'autorisations IAM
Déclencher le détecteur d'autorisations anormales IAM en invitant l'adresse e-mail gmail.com au rôle de Propriétaire du projet.
- Accédez à la page IAM et administration de la console Google Cloud.
Accéder à la page "IAM et administration" - Sur la page IAM et administration, cliquez sur Ajouter.
- Dans la fenêtre Ajouter des comptes principaux, sous Nouveaux comptes principaux, saisissez l'adresse gmail.com de l'utilisateur test.
- Sous Sélectionnez un rôle, sélectionnez Projet > Propriétaire.
- Cliquez sur Enregistrer.
Vous allez ensuite vérifier que le détecteur d'attributions anormales IAM a écrit un résultat.
Étape 3 : Afficher le résultat dans Security Command Center
Pour afficher le résultat Event Threat Detection dans Security Command Center:
Accédez à la page Résultats de Security Command Center dans Google Cloud Console.
Dans la section Catégorie du panneau Filtres rapides, sélectionnez Persistance: attribution anormale d'autorisations IAM. Si nécessaire, cliquez sur Afficher plus pour le trouver. Le panneau Résultats de la requête de résultat est mis à jour pour n'afficher que la catégorie de résultats sélectionnée.
Pour trier la liste dans le panneau Résultats de la requête de résultat, cliquez sur Date et heure de l'événement afin que le résultat le plus récent s'affiche en premier.
Dans le panneau Résultats de la requête de résultats, affichez les détails du résultat. en cliquant sur Persistance: autorisation anormale IAM dans la colonne Catégorie. Le panneau des détails du résultat s'ouvre et affiche l'onglet Résumé.
Vérifiez la valeur dans la ligne Principal email (Adresse e-mail du compte principal). Il doit s'agir du test adresse e-mail gmail.com à laquelle vous avez accordé la propriété.
Si aucun résultat ne correspond à votre compte test gmail.com, vérifiez vos paramètres Event Threat Detection.
Étape 4 : Afficher les résultats dans Cloud Logging
Si vous avez activé la journalisation des résultats dans Cloud Logging, vous pouvez afficher que vous y trouverez. L'affichage des résultats de journalisation dans Cloud Logging n'est disponible si vous activez le niveau Premium de Security Command Center au niveau de l'organisation.
Accédez à l'explorateur de journaux dans la console Google Cloud.
Dans le sélecteur de projet en haut de la page, sélectionnez le projet dans lequel vous stockez vos journaux Event Threat Detection.
Cliquez sur l'onglet Générateur de requêtes.
Dans la liste déroulante Ressources, sélectionnez Détecteur de menaces.
Sous Nom du détecteur, sélectionnez iam_anomalous_grant, puis cliquez sur Ajouter. La requête apparaît dans la zone de texte du générateur de requêtes.
Vous pouvez également saisir la requête suivante dans la zone de texte :
resource.type="threat_detector" resource.labels.detector_name="iam_anomalous_grant"
Cliquez sur Exécuter la requête (Run Query). La table Résultats de la requête est mise à jour avec les journaux que vous avez sélectionnés.
Pour afficher un journal, cliquez sur une ligne du tableau, puis sur Développer les champs imbriqués.
Si aucun résultat ne s'affiche pour la règle Octroi anormal d'autorisations IAM, vérifiez vos paramètres Event Threat Detection.
Effectuer un nettoyage
Lorsque vous avez terminé les tests, supprimez l'utilisateur test du projet.
- Accédez à la page IAM et administration de la console Google Cloud.
Accéder à la page "IAM et administration" - À côté de l'adresse gmail.com de l'utilisateur test, cliquez sur Modifier.
- Dans le panneau Modifier les autorisations qui s'affiche, cliquez sur Supprimer pour tous les rôles attribués à l'utilisateur test.
- Cliquez sur Enregistrer.
Étape suivante
- En savoir plus sur utiliser Event Threat Detection.
- Lisez une présentation générale de Concepts liés à Event Threat Detection
- Découvrez comment examiner et développer des plans d'intervention sur les menaces.