Tester Event Threat Detection

>

Vérifiez que Event Threat Detection fonctionne en déclenchant intentionnellement le détecteur d'octroi anormal d'autorisations IAM et en vérifiant les résultats.

Event Threat Detection est un service intégré pour le niveau Premium de Security Command Center, qui surveille le flux Cloud Logging de votre organisation et détecte les menaces quasiment en temps réel. Pour en savoir plus, consultez la présentation de Event Threat Detection.

Les instructions de cette page s'appliquent également à Event Threat Detection dans l'ancienne interface utilisateur de Security Command Center, une version antérieure à la disponibilité générale des produits qui n'est pas disponible pour les nouveaux abonnés.

Avant de commencer

Pour afficher les résultats d'Event Threat Detection, ce service doit être activé dans les paramètres Services de Security Command Center.

Pour suivre ce guide, vous devez disposer d'un rôle IAM (Identity and Access Management) disposant de l'autorisation resourcemanager.projects.setIamPolicy, tel que le rôle Administrateur de projet IAM.

Tester Event Threat Detection

Pour tester Event Threat Detection, vous devez créer un utilisateur test, lui accorder des autorisations, puis afficher le résultat dans le tableau de bord Security Command Center et dans Cloud Logging.

Étape 1 : Créer un utilisateur test

Pour déclencher le détecteur, vous avez besoin d'un utilisateur test disposant d'une adresse e-mail gmail.com. Vous pouvez créer un compte gmail.com, puis lui accorder l'accès au projet dans lequel vous souhaitez effectuer le test.

  1. Accédez à la page IAM et administration de Cloud Console.
    Accéder à la page "IAM et administration"
  2. Sur la page IAM et administration, cliquez sur Ajouter.
  3. Dans la fenêtre Ajouter des membres, sous Nouveaux membres, saisissez l'adresse gmail.com de l'utilisateur test.
  4. Sous Rôle, sélectionnez Projet > Navigateur.
  5. Cliquez sur Enregistrer.

Étape 2 : Déclencher le détecteur d'octroi anormal d'autorisations IAM

Déclenchez le détecteur d'octroi anormal d'autorisations IAM en attribuant le rôle d'éditeur de projet à une adresse e-mail gmail.com. Remarque : actuellement, ce résultat ne se déclenche que pour les utilisateurs de Security Command Center disposant d'une adresse e-mail gmail.com.

  1. Accédez à la page IAM et administration de Cloud Console.
    Accéder à la page "IAM et administration"
  2. À côté de l'adresse gmail.com de l'utilisateur test, cliquez sur Modifier.
  3. Dans le panneau Modifier les autorisations qui s'affiche, cliquez sur Ajouter un autre rôle.
  4. Sélectionnez Projet > Éditeur.
  5. Cliquez sur Enregistrer.

Ensuite, vérifiez que le détecteur d'octroi anormal d'autorisations IAM a des résultats écrits.

Étape 3 : Afficher le résultat dans Security Command Center

Pour afficher le résultat de Event Threat Detection dans Security Command Center, procédez comme suit :

  1. Accédez à l'onglet Résultats de Cloud Command Center dans Cloud Console.
    Accéder à l'onglet "Résultats"
  2. À côté de Afficher par, cliquez sur Type de source.
  3. Dans la liste Type de source, sélectionnez Event Threat Detection.
  4. Dans la zone Filtre, saisissez category:iam.
  5. Triez la liste en cliquant sur l'en-tête de colonne eventTime afin que le résultat le plus récent s'affiche en premier.
  6. Cliquez sur le nom du type de résultat Persistance : Octroi anormal d'autorisations IAM pour afficher le panneau Résultats détaillés.
  7. Dans le panneau Résultats détaillés, cliquez sur Propriétés sources. Le champ properties doit indiquer l'adresse e-mail gmail.com test à laquelle vous avez accordé des autorisations.

Si aucun résultat ne correspond à votre compte test gmail.com, vérifiez vos paramètres Event Threat Detection.

Étape 3 : Afficher les résultats dans Cloud Logging

Si vous avez activé la journalisation des résultats dans Cloud Logging, vous pouvez accéder aux résultats dans cette application.

  1. Accédez à la page Visionneuse de journaux de Cloud Console.
    Accéder à la page "Visionneuse de journaux"
  2. Sur la page Visionneuse de journaux, cliquez sur Sélectionner, puis sur le projet dans lequel vous stockez les journaux Event Threat Detection.
  3. Dans la liste déroulante des ressources, sélectionnez Cloud Threat Detector, puis iam_anomalous_grant.
  4. Pour afficher le journal, cliquez sur son nom, puis sur Tout développer.

Si aucun résultat ne s'affiche pour la règle Octroi anormal d'autorisations IAM, vérifiez vos paramètres Event Threat Detection.

Nettoyer

Lorsque vous avez terminé les tests, vous pouvez supprimer l'utilisateur test du projet.

  1. Accédez à la page IAM et administration de Cloud Console.
    Accéder à la page "IAM et administration"
  2. À côté de l'adresse gmail.com de l'utilisateur test, cliquez sur Modifier.
  3. Dans le panneau Modifier les autorisations qui s'affiche, cliquez sur Supprimer pour tous les rôles attribués à l'utilisateur test.
  4. Cliquez sur Enregistrer.

Étape suivante