Event Threat Detection 테스트

>

IAM 비정상적인 권한 부여 감지기를 의도적으로 트리거하고 발견 항목을 확인하여 Event Threat Detection이 작동하는지 확인합니다.

Event Threat Detection은 조직의 Cloud Logging 스트림을 모니터링하고 거의 실시간으로 위협을 감지하는 Security Command Center 프리미엄 등급의 기본 서비스입니다. 자세한 내용은 Event Threat Detection 개요를 참조하세요.

이 페이지의 안내는 새 구독자가 사용할 수 없는 GA 이전 버전인 Security Command Center 기존 UI의 Event Threat Detection에도 적용됩니다.

시작하기 전에

Event Threat Detection 발견 항목을 보려면 Security Command Center 서비스 설정에서 서비스를 사용 설정해야 합니다.

이 가이드를 완료하려면 프로젝트 IAM 관리자 역할과 같은 resourcemanager.projects.setIamPolicy 권한이 있는 ID 및 액세스 관리(IAM) 역할이 있어야 합니다.

Event Threat Detection 테스트

Event Threat Detection을 테스트하려면 테스트 사용자를 만들고 권한을 부여한 다음 Security Command Center 대시보드와 Cloud Logging에서 발견 항목을 확인합니다.

1단계: 테스트 사용자 만들기

감지기를 트리거하려면 gmail.com 이메일 주소가 있는 테스트 사용자가 필요합니다. gmail.com 계정을 만든 다음 테스트를 수행할 프로젝트에 대한 액세스 권한을 부여할 수 있습니다.

  1. Cloud Console에서 IAM 및 관리 페이지로 이동합니다.
    IAM 및 관리 페이지로 이동
  2. IAM 및 관리 페이지에서 추가를 클릭합니다.
  3. 구성원 추가 창의 새 구성원 아래에 테스트 사용자의 gmail.com 주소를 입력합니다.
  4. 역할 선택에서 프로젝트 > 브라우저를 선택합니다.
  5. 저장을 클릭합니다.

2단계: IAM 비정상적인 권한 부여 감지기 트리거

gmail.com 이메일 주소에 프로젝트 편집자 역할을 부여하여 IAM 비정상적인 권한 부여 감지기를 트리거합니다. 참고: 현재 이 발견 항목은 gmail.com 이메일 주소가 있는 Security Command Center 사용자에게만 트리거됩니다.

  1. Cloud Console에서 IAM 및 관리 페이지로 이동합니다.
    IAM 및 관리 페이지로 이동
  2. 테스트 사용자의 gmail.com 주소 옆에 있는 수정을 클릭합니다.
  3. 표시되는 권한 수정 패널에서 다른 역할 추가를 클릭합니다.
  4. 프로젝트 > 편집기를 선택합니다.
  5. 저장을 클릭합니다.

다음으로 IAM 비정상적인 권한 부여 감지기에서 발견 항목을 기록했는지 확인합니다.

3단계: Security Command Center에서 발견 항목 보기

(Security Command Center)에서 Event Threat Detection 발견 항목을 확인하는 방법은 다음과 같습니다.

  1. Cloud Console에서 Security Command Center 발견 항목 탭으로 이동합니다.
    발견 항목으로 이동
  2. 보기 기준 옆에 있는 소스 유형을 클릭합니다.
  3. 소스 유형 목록에서 Event Threat Detection을 선택합니다.
  4. 필터 상자에 category:iam을 입력합니다.
  5. eventTime 열 헤더를 클릭하여 목록을 정렬하면 가장 최근 항목이 먼저 표시됩니다.
  6. 발견 항목 유형 이름 지속성: IAM 비정상적인 권한 부여를 클릭하여 발견 항목 세부정보 패널을 표시합니다.
  7. 발견 항목 세부정보 패널에서 소스 속성을 클릭합니다. properties 필드에는 권한이 부여된 테스트 gmail.com 이메일 주소가 표시되어야 합니다.

테스트 gmail.com 계정과 일치하는 발견 항목이 표시되지 않는 경우 Event Threat Detection 설정을 확인합니다.

3단계: Cloud Logging에서 발견 항목 보기

Cloud Logging에 로깅 발견 항목을 사용 설정한 경우 Cloud Logging에서 발견 항목을 확인할 수 있습니다.

  1. Cloud Console의 로그 뷰어 페이지로 이동합니다.
    로그 뷰어 페이지로 이동
  2. 로그 뷰어 페이지에서 선택을 클릭한 다음 Event Threat Detection 로그를 저장할 프로젝트를 클릭합니다.
  3. 리소스 드롭다운 목록에서 Cloud Threat Detector를 선택한 다음 iam_anomalous_grant를 선택합니다.
  4. 로그를 보려면 로그 이름을 클릭한 다음 모두 펼치기를 클릭합니다.

IAM 비정상적인 권한 부여 규칙에 대한 발견 항목이 표시되지 않으면 Event Threat Detection 설정을 확인하세요.

정리

테스트를 완료한 후 프로젝트에서 테스트 사용자를 삭제할 수 있습니다.

  1. Cloud Console에서 IAM 및 관리 페이지로 이동합니다.
    IAM 및 관리 페이지로 이동
  2. 테스트 사용자의 gmail.com 주소 옆에 있는 수정을 클릭합니다.
  3. 표시된 권한 수정 패널에서 테스트 사용자에게 부여된 모든 역할에 대해 삭제를 클릭합니다.
  4. 저장을 클릭합니다.

다음 단계