IAM 異常付与検出機能を意図的にトリガーして検出結果を確認することで、Event Threat Detection が機能していることを検証します。
Event Threat Detection は、組織の Cloud Logging と Google Workspace ロギング ストリームをモニタリングし、脅威をほぼリアルタイムで検出する Security Command Center プレミアム ティアの組み込みサービスです。詳細は、Event Threat Detection の概要をご覧ください。
始める前に
Event Threat Detection の検出結果を表示するには、Security Command Center の [Services] 設定でこのサービスを有効にする必要があります。
このガイドを完了するには、プロジェクト IAM 管理者のロールなど、resourcemanager.projects.setIamPolicy
権限を持つ Identity and Access Management(IAM)のロールが必要です。
Event Threat Detection のテスト
Event Threat Detection をテストするには、テストユーザーを作成して権限を付与し、Google Cloud コンソールと Cloud Logging で検出結果を表示します。
手順 1: テストユーザーを作成する
検出機能をトリガーするには、gmail.com のメールアドレスを持つテストユーザーが必要です。gmail.com のアカウントを作成し、そのアカウントにテストを行うプロジェクトへのアクセス権を付与します。 この gmail.com アカウントに、テストを行うプロジェクトの IAM 権限がないことを確認します。
手順 2: IAM 異常付与検出機能をトリガーする
gmail.com のメールアドレスにプロジェクト オーナーのロールを付与して、IAM 異常付与検出機能をトリガーします。
- Google Cloud コンソールの [IAM と管理] ページに移動します。
[IAM と管理] ページに移動 - [IAM と管理] ページで、[追加] をクリックします。
- [プリンシパルの追加] ウィンドウの [新しいプリンシパル] に、テストユーザーの gmail.com のアドレスを入力します。
- [ロールを選択] で、[プロジェクト] > [オーナー] の順に選択します。
- [保存] をクリックします。
次に、IAM 異常付与検出機能によって検出結果が書き込まれたことを確認します。
手順 3: 検出結果を Security Command Center に表示する
Security Command Center で Event Threat Detection の検出結果を表示するには:
Google Cloud コンソールで Security Command Center の [検出結果] ページに移動します。
クイック フィルタ パネルの カテゴリ セクションで、永続性: IAM 異常付与 を選択します。必要に応じて、[もっと見る] をクリックして確認します。[検出クエリの結果] パネルが更新され、選択した検出結果カテゴリのみが表示されます。
[検出結果クエリの結果] パネルでリストを並べ替えるには、[イベント時間] 列のヘッダーをクリックして最新の検出結果が先頭に表示されるようにします。
[検出クエリの結果] パネルで、[カテゴリ] 列の [永続性: IAM 異常付与検出] をクリックして、検出結果の詳細を表示します。検出結果の詳細パネルが開き、[概要] タブが表示されます。
[プリンシパルのメール] 行の値を確認します。オーナー権限を付与したテスト用の gmail.com のメールアドレスがあるはずです。
テスト用の gmail.com アカウントと一致するメールアドレスが表示されない場合は、Event Threat Detection の設定を確認します。
手順 4: 検出結果を Cloud Logging に表示する
Cloud Logging への検出結果のロギングを有効にしている場合は、Cloud Logging でもその検出結果を確認できます。Cloud Logging でロギングの検出結果を表示するには、組織レベルで Security Command Center プレミアム ティアを有効にする必要があります。
Google Cloud コンソールの [ログ エクスプローラ] に移動します。
ページの上部にある [プロジェクト セレクタ] で、Event Threat Detection ログを保存するプロジェクトを選択します。
[Query builder] タブをクリックします。
[リソース] のプルダウン リストで、[Threat Detector] を選択します。
[Detector name] で [iam_anomalous_grant] を選択し、[追加] をクリックします。クエリビルダーのテキスト ボックスにクエリが表示されます。
また、テキスト ボックスに次のクエリを入力します。
resource.type="threat_detector" resource.labels.detector_name="iam_anomalous_grant"
[RUN QUERY] をクリックします。[クエリ結果] テーブルが選択したログで更新されます。
ログを表示するには、テーブル行をクリックし、[ネストされたフィールドを展開] をクリックします。
IAM 異常付与ルールが見つからない場合は、Event Threat Detection の設定を確認します。
クリーンアップ
テストが完了したら、テストユーザーをプロジェクトから削除します。
- Google Cloud コンソールの [IAM と管理] ページに移動します。
[IAM と管理] ページに移動 - テストユーザーの gmail.com アドレスの横にある [編集] をクリックします。
- 表示された [権限の編集] パネルで、テストユーザーに付与されているすべてのロールの [削除] をクリックします。
- [保存] をクリックします。
次のステップ
- Event Threat Detection の使用について学習する。
- Event Threat Detection のコンセプトの概要を確認する。
- 脅威に対する対応計画の調査と開発の方法を学習する。