Tester Event Threat Detection

Vérifiez que Event Threat Detection fonctionne en déclenchant intentionnellement le détecteur d'octroi anormal d'autorisations IAM et en vérifiant les résultats.

Event Threat Detection est un service intégré pour le niveau Premium de Security Command Center qui surveille les flux de journalisation Cloud Logging et Google Workspace de votre organisation et détecte les menaces presque en temps réel. Pour en savoir plus, consultez la présentation d'Event Threat Detection.

Avant de commencer

Pour afficher les résultats d'Event Threat Detection, le service doit être activé dans les paramètres Services de Security Command Center.

Pour suivre ce guide, vous devez disposer d'un rôle IAM (Identity and Access Management) disposant de l'autorisation resourcemanager.projects.setIamPolicy, tel que le rôle Administrateur de projet IAM.

Tester Event Threat Detection

Pour tester Event Threat Detection, vous devez créer un utilisateur test, accorder des autorisations, puis afficher le résultat dans la console Google Cloud et dans Cloud Logging.

Étape 1 : Créer un utilisateur test

Pour déclencher le détecteur, vous avez besoin d'un utilisateur test disposant d'une adresse e-mail gmail.com. Vous pouvez créer un compte gmail.com, puis lui accorder l'accès au projet dans lequel vous souhaitez effectuer le test. Assurez-vous que ce compte gmail.com ne dispose pas déjà d'autorisations IAM dans le projet dans lequel vous effectuez le test.

Étape 2 : Déclencher le détecteur d'octroi anormal d'autorisations IAM

Déclenchez le détecteur d'attributions anormales IAM en invitant l'adresse e-mail gmail.com dans le rôle de propriétaire du projet.

1. Accédez à la page IAM et administration de la console Google Cloud.
   Accéder à la page "IAM et administration"
2. Sur la page IAM et administration, cliquez sur Ajouter.
3. Dans la fenêtre Ajouter des comptes principaux, sous Nouveaux comptes principaux, saisissez l'adresse gmail.com de l'utilisateur test.
4. Sous Sélectionner un rôle, sélectionnez Projet > Propriétaire.
5. Cliquez sur Enregistrer.

Vous devez ensuite vérifier que le détecteur d'autorisations anormales IAM a écrit un résultat.

Étape 3 : Afficher le résultat dans Security Command Center

Pour afficher le résultat Event Threat Detection dans Security Command Center:

1. Accédez à la page Résultats de Security Command Center dans Google Cloud Console.

   Accéder

2. Dans la section Catégorie du panneau Filtres rapides, sélectionnez Persistance: autorisation IAM anormale. Si nécessaire, cliquez sur Afficher plus pour le trouver. Le panneau Résultats de la requête de résultats est actualisé pour n'afficher que la catégorie de résultats sélectionnée.

3. Pour trier la liste dans le panneau Résultats de la requête de résultats, cliquez sur l'en-tête de colonne Heure de l'événement afin que le résultat le plus récent s'affiche en premier.

4. Dans le panneau Résultats de la requête de résultats, affichez les détails du résultat en cliquant sur Persistence: autorisation anormale IAM dans la colonne Catégorie. Le panneau de détails du résultat s'ouvre et affiche l'onglet Summary (Résumé).

5. Vérifiez la valeur figurant sur la ligne Adresse e-mail du compte principal. Il doit s'agir de l'adresse e-mail de test gmail.com à laquelle vous avez accordé la propriété.

Si aucun résultat ne correspond à votre compte test gmail.com, vérifiez vos paramètres Event Threat Detection.

Étape 4 : Afficher les résultats dans Cloud Logging

Si vous avez activé les résultats de journalisation dans Cloud Logging, vous pouvez y consulter les résultats. L'affichage des résultats de journalisation dans Cloud Logging n'est disponible que si vous activez le niveau Premium de Security Command Center au niveau de l'organisation.

1. Accédez à l'explorateur de journaux dans la console Google Cloud.

   Accéder à l'explorateur de journaux

2. Dans le sélecteur de projet en haut de la page, sélectionnez le projet dans lequel vous stockez vos journaux Event Threat Detection.

3. Cliquez sur l'onglet Générateur de requêtes.

4. Dans la liste déroulante Ressources, sélectionnez Détecteur de menaces.

5. Sous Nom du détecteur, sélectionnez iam_anomalous_grant, puis cliquez sur Ajouter. La requête apparaît dans la zone de texte du générateur de requêtes.

6. Vous pouvez également saisir la requête suivante dans la zone de texte :

   resource.type="threat_detector" resource.labels.detector_name="iam_anomalous_grant"
   

7. Cliquez sur Exécuter la requête (Run Query). La table Résultats de la requête est mise à jour avec les journaux que vous avez sélectionnés.

8. Pour afficher un journal, cliquez sur une ligne du tableau, puis sur Développer les champs imbriqués.

Si aucun résultat ne s'affiche pour la règle Octroi anormal d'autorisations IAM, vérifiez vos paramètres Event Threat Detection.

Effectuer un nettoyage

Lorsque vous avez terminé les tests, supprimez l'utilisateur test du projet.

1. Accédez à la page IAM et administration de la console Google Cloud.
   Accéder à la page "IAM et administration"
2. À côté de l'adresse gmail.com de l'utilisateur test, cliquez sur Modifier.
3. Dans le panneau Modifier les autorisations qui s'affiche, cliquez sur Supprimer pour tous les rôles attribués à l'utilisateur test.
4. Cliquez sur Enregistrer.

Étapes suivantes

• Découvrez comment utiliser Event Threat Detection.
• Lisez une présentation générale des concepts de Event Threat Detection.
• Découvrez comment examiner et développer des plans d'intervention sur les menaces.