Como testar o Event Threat Detection

>

Verifique se o Event Threat Detection está funcionando acionando intencionalmente o detector de concessão de anomalias do IAM e verificando se há descobertas. O Event Threat Detection é um serviço integrado para o nível Premium do Security Command Center. Para ver as descobertas do Event Threat Detection, é necessário ativá-las nas configurações de origens e serviços do Security Command Center.

Antes de começar

Para concluir este guia, é preciso ter um papel de Gerenciamento de identidade e acesso (IAM, na sigla em inglês) com a permissão resourcemanager.projects.setIamPolicy, como o papel Administrador de IAM do projeto.

Como testar o Event Threat Detection

Para testar o Event Threat Detection, crie um usuário de teste, conceda permissões e veja a descoberta no painel do Security Command Center e no Cloud Logging.

Etapa 1: como criar um usuário de teste

Para acionar o detector, você precisa de um usuário de teste com um endereço de e-mail gmail.com. Crie uma conta do gmail.com e conceda acesso ao projeto em que você quer executar o teste.

  1. Acesse a página IAM e administrador no Console do Cloud.
    Acessar a página "IAM e administrador"
  2. Na página IAM e administrador, clique em Adicionar.
  3. Na janela Adicionar membros, em Novos membros, insira o endereço gmail.com do usuário de teste.
  4. Em Selecionar um papel, selecione Projeto > Navegador.
  5. Clique em Save.

Etapa 2: como acionar o detector de concessões anômalas do IAM

Acione o detector de concessões anômalas do IAM concedendo o papel Editor do projeto a um endereço de e-mail gmail.com. Observação: atualmente, esta descoberta só é acionada para os usuários do Security Command Center com um endereço de e-mail gmail.com.

  1. Acesse a página IAM e administrador no Console do Cloud.
    Acessar a página "IAM e administrador"
  2. Ao lado do endereço gmail.com do usuário de teste, clique em Editar.
  3. No painel Editar permissões, clique em Adicionar outro papel.
  4. Selecione Projeto > Editor.
  5. Clique em Save.

Em seguida, verifique se o detector de concessões anômalas do IAM escreveu descobertas.

Etapa 3: como ver a descoberta no Security Command Center

Para ver o Event Threat Detection em (Security Command Center):

  1. Acesse a guia Descobertas do Security Command Center no Console do Cloud.
    Acessar as descobertas
  2. Ao lado de Visualizar por, clique em Tipo de fonte.
  3. Na lista Tipo de origem, selecione Event Threat Detection.
  4. Na caixa Filtro, digite category:iam.
  5. Classifique a lista clicando no cabeçalho da coluna eventTime para que as descobertas mais recentes sejam exibidas primeiro.
  6. Clique no nome do tipo de descoberta Persistence: concessão anômala do Iam para exibir o painel Encontrar detalhes.
  7. No painel Encontrar detalhes, clique em Propriedades de origem. O campo properties mostrará o endereço de e-mail de teste gmail.com a que você concedeu permissões.

Se uma descoberta não corresponder a conta de teste do gmail.com, verifique as configurações do Event Threat Detection.

Etapa 3: como visualizar a descoberta no Cloud Logging

Se você ativou as descobertas de registro no Cloud Logging, será possível visualizá-las.

  1. Acesse a página Visualizador de registros do Cloud Logging no Console do Cloud.
    Acessar a página "Visualizador de registros"
  2. Na página Visualizador de registros, clique em Selecionar e selecione o projeto em que você armazena os registros do Event Threat Detection.
  3. Na lista suspensa de recursos, selecione Cloud Threat Detector e selecione iam_anomalous_grant.
  4. Para visualizar o registro, clique no nome do registro e em Expandir tudo.

Se você não encontrar uma descoberta para a regra de concessão anômalas do IAM, verifique as configurações do Event Threat Detection.

Limpeza

Quando terminar os testes, você poderá remover o usuário de teste do projeto.

  1. Acesse a página IAM e administrador no Console do Cloud.
    Acessar a página "IAM e administrador"
  2. Ao lado do endereço gmail.com do usuário de teste, clique em Editar.
  3. No painel Editar permissões exibido, clique em Excluir para todos os papéis concedidos ao usuário de teste.
  4. Clique em Save.

A seguir