Verifica di Event Threat Detection

Verifica che Event Threat Detection funzioni attivando intenzionalmente il Rilevatore di concessioni IAM anomala e controllo dei risultati.

Event Threat Detection è un servizio integrato per il livello Premium di Security Command Center che monitora i servizi Cloud Logging e Google Workspace della tua organizzazione logging e rileva le minacce quasi in tempo reale. Per saperne di più, leggi Panoramica di Event Threat Detection.

Prima di iniziare

Per visualizzare i risultati di Event Threat Detection, il servizio deve essere abilitato in Impostazioni dei servizi di Security Command Center.

Per completare questa guida, devi disporre di un ruolo IAM (Identity and Access Management) con l'autorizzazione resourcemanager.projects.setIamPolicy, ad esempio Progetto Amministratore IAM.

Verifica di Event Threat Detection

Per testare Event Threat Detection, crea un utente di prova, concedi le autorizzazioni visualizza il risultato nella console Google Cloud e in Cloud Logging.

Passaggio 1: crea un utente di test

Per attivare il rilevatore, è necessario un utente di test con un indirizzo email gmail.com. Puoi creare un account gmail.com e concedergli l'accesso al progetto in cui vuoi eseguire il test. Assicurati che l'account gmail.com non sia già attivo disporre di autorizzazioni IAM nel progetto in cui stai eseguendo il test.

Passaggio 2: attiva il rilevatore di concessioni IAM anomali

Attiva il rilevatore IAM Concessione anomala invitando l'indirizzo email gmail.com al ruolo di Proprietario progetto.

1. Vai alla sezione IAM e alla pagina Amministrazione nella console Google Cloud.
   Vai alla sezione IAM & Pagina Amministrazione
2. Nella piattaforma IAM e Amministratore, fai clic su Aggiungi.
3. Nella finestra Aggiungi entità, in Nuove entità, inserisci il test l'indirizzo gmail.com dell'utente.
4. In Seleziona un ruolo, scegli Progetto > Proprietario.
5. Fai clic su Salva.

Successivamente, verificherai che il rilevatore IAM Concessione anomala abbia scritto un risultato.

Passaggio 3: visualizza il risultato in Security Command Center

Per visualizzare il risultato di Event Threat Detection in Security Command Center:

1. Vai alla pagina Risultati di Security Command Center nella console Google Cloud.

   Vai ai risultati

2. Nella sezione Categoria del riquadro Filtri rapidi, seleziona Persistenza: concessione anomala IAM. Se necessario, fai clic su Mostra altro. per trovarlo. Il riquadro Risultati query dei risultati si aggiorna per mostrare solo la categoria dei risultati selezionata.

3. Per ordinare l'elenco nel riquadro Risultati query dei risultati, fai clic sull'icona Ora evento in modo che il risultato più recente venga visualizzato per primo.

4. Nel riquadro Risultati query dei risultati, visualizza i dettagli del risultato facendo clic su Persistence: IAM Anomalous Grant nella colonna Category. Il riquadro dei dettagli del risultato si apre e mostra la scheda Riepilogo.

5. Verifica il valore nella riga Principal email (Email entità). Dovrebbe essere il test l'indirizzo email gmail.com a cui hai concesso la proprietà.

Se non viene visualizzato un risultato che corrisponde al tuo account gmail.com di prova, verifica le impostazioni di Event Threat Detection.

Passaggio 4: visualizza il risultato in Cloud Logging

Se hai abilitato i risultati di logging in Cloud Logging, puoi visualizzare trovare lì. La visualizzazione dei risultati di logging in Cloud Logging è solo disponibile se si attiva il livello Premium di Security Command Center a livello di organizzazione.

1. Vai a Esplora log nella console Google Cloud.

   Vai a Esplora log

2. Nel selettore di progetti nella parte superiore della pagina, seleziona il progetto in cui archivi i log di Event Threat Detection.

3. Fai clic sulla scheda Query Builder.

4. Nell'elenco a discesa Risorsa, seleziona Threat Detector.

5. In Nome rilevatore, seleziona iam_anomalous_grant e fai clic su Aggiungi. La query viene visualizzata nella casella di testo di Query Builder.

6. In alternativa, inserisci la seguente query nella casella di testo:

   resource.type="threat_detector" resource.labels.detector_name="iam_anomalous_grant"
   

7. Fai clic su Esegui query. La tabella Risultati delle query viene aggiornata con i log che hai selezionato.

8. Per visualizzare un log, fai clic su una riga della tabella, quindi su Espandi campi nidificati.

Se non vedi un risultato per la regola di concessione anomala di IAM, verifica Impostazioni di Event Threat Detection.

Esegui la pulizia

Al termine del test, rimuovi l'utente di test dal progetto.

1. Vai alla sezione IAM e alla pagina Amministrazione nella console Google Cloud.
   Vai alla sezione IAM & Pagina Amministrazione
2. Accanto all'indirizzo gmail.com dell'utente di test, fai clic su Modifica.
3. Nel riquadro Modifica autorizzazioni visualizzato, fai clic su Elimina per tutte i ruoli concessi all'utente di test.
4. Fai clic su Salva.

Passaggi successivi

• Scopri di più sull'utilizzo di Event Threat Detection.
• Leggi una panoramica generale dei concetti di Event Threat Detection.
• Scopri come indagare e sviluppare piani di risposta alle minacce.