Event Threat Detection のテスト

>

IAM 異常付与検出器を意図的にトリガーして検出結果を確認することで、Event Threat Detection が機能していることを検証します。Event Threat Detection は、Security Command Center のプレミアム ティアの組み込みサービスです。Event Threat Detection の検出結果を表示するには、Security Command Center の [Services] の設定で有効にする必要があります。

始める前に

このガイドを完了するには、プロジェクト IAM 管理者のロールなど、resourcemanager.projects.setIamPolicy 権限を持つ Identity and Access Management(IAM)のロールが必要です。

Event Threat Detection のテスト

Event Threat Detection をテストするには、テストユーザーを作成し、権限を付与して、Security Command Center ダッシュボードと Cloud Logging で検出結果を表示します。

手順 1: テストユーザーを作成する

検出器をトリガーするには、gmail.com のメールアドレスを持つテストユーザーが必要です。gmail.com のアカウントを作成し、そのアカウントにテストを行うプロジェクトへのアクセス権を付与します。

  1. Cloud Console の [IAM と管理] ページに移動します。
    [IAM と管理] ページに移動
  2. [IAM と管理] ページで、[追加] をクリックします。
  3. [メンバーの追加] ウィンドウの [新しいメンバー] に、テストユーザーの gmail.com のアドレスを入力します。
  4. [ロールを選択] で、[プロジェクト] > [ブラウザ] の順に選択します。
  5. [保存] をクリックします。

手順 2: IAM 異常付与検出器のトリガー

gmail.com のメールアドレスにプロジェクト編集者のロールを付与して、IAM 異常付与検出器をトリガーします。 : 現在のところ、この検出は gmail.com のメールアドレスを持つ Security Command Center ユーザーに対してのみトリガーされます。

  1. Cloud Console の [IAM と管理] ページに移動します。
    [IAM と管理] ページに移動
  2. テストユーザーの gmail.com アドレスの横にある [編集] をクリックします。
  3. 表示される [権限の編集] パネルで、[別のロールを追加] をクリックします。
  4. [プロジェクト] > [編集者] を選択します。
  5. [保存] をクリックします。

次に、IAM 異常付与検出器によって検出結果が書き込まれたことを確認します。

手順 3: 検出結果を Security Command Center に表示する

(Security Command Center に)Event Threat Detection の検出結果を表示するには:

  1. Cloud Console で Security Command Center の [検出結果] タブに移動します。
    [検出結果] に移動
  2. [表示] の横にある [ソースの種類] をクリックします。
  3. [ソースの種類] リストで、[Event Threat Detection] を選択します。
  4. [フィルタ] ボックスに、「category:iam」と入力します。
  5. [eventTime] 列ヘッダーをクリックしてリストを並べ替えると、最新の検出結果が最初に表示されます。
  6. 検出の種類名 [Persistence: Iam Anomalos Grant] をクリックし、[検出結果の詳細] パネルを表示します。
  7. [検出結果の詳細] パネルで [ソースのプロパティ] をクリックします。[properties] フィールドに、権限を付与したテスト用の gmail.com メールアドレスが表示されます。

テスト用の gmail.com アカウントと一致するメールアドレスが表示されない場合は、Event Threat Detection の設定を確認します。

手順 3: 検出結果を Cloud Logging に表示する

Cloud Logging へのロギングの検出を有効にしている場合は、Cloud Logging でもその検出結果を確認できます。

  1. Cloud Console の [ログビューア] ページに移動します。
    ログビューア ページに移動
  2. [ログビューア] ページで [選択] をクリックし、Event Threat Detection ログを保存するプロジェクトをクリックします。
  3. リソースのプルダウン リストで [Cloud Threat Detector] を選択してから、[iam_anomalous_grant] を選択します。
  4. ログを表示するには、ログ名をクリックし、[すべて展開] をクリックします。

IAM 異常付与ルールが見つからない場合は、Event Threat Detection の設定を確認します。

クリーンアップ

テストが完了したら、プロジェクトからテストユーザーを削除できます。

  1. Cloud Console の [IAM と管理] ページに移動します。
    [IAM と管理] ページに移動
  2. テストユーザーの gmail.com アドレスの横にある [編集] をクリックします。
  3. 表示された [権限の編集] パネルで、テストユーザーに付与されているすべてのロールの [削除] をクリックします。
  4. [保存] をクリックします。

次のステップ