Como testar o Event Threat Detection

Verifique se o Event Threat Detection está funcionando acionando intencionalmente o detector de concessão de anomalias do IAM e verificando se há descobertas.

O Event Threat Detection é um serviço integrado para o nível Premium do Security Command Center que monitora os streams de registros do Cloud Logging e do Google Workspace da organização e detecta ameaças quase em tempo real. Para saber mais, leia Visão geral do Event Threat Detection.

Antes de começar

Para ver as descobertas do Event Threat Detection, o serviço precisa estar ativado nas configurações Serviços do Security Command Center.

Para concluir este guia, é preciso ter um papel de Gerenciamento de identidade e acesso (IAM, na sigla em inglês) com a permissão resourcemanager.projects.setIamPolicy, como o papel Administrador de IAM do projeto.

Como testar o Event Threat Detection

Para testar o Event Threat Detection, crie um usuário de teste, conceda permissões e veja a descoberta no Console do Google Cloud e no Cloud Logging.

Etapa 1: como criar um usuário de teste

Para acionar o detector, você precisa de um usuário de teste com um endereço de e-mail gmail.com. Crie uma conta do gmail.com e conceda acesso ao projeto em que você quer executar o teste. Verifique se essa conta do gmail.com ainda não tem permissões do IAM no projeto em que você está executando o teste.

Etapa 2: como acionar o detector de concessões anômalas do IAM

Acione o detector de concessão anômala do IAM ao convidar o endereço de e-mail gmail.com para o papel de proprietário do projeto.

1. Acesse a página IAM e administrador no console do Google Cloud.
   Acessar a página "IAM e administrador"
2. Na página IAM e administrador, clique em Adicionar.
3. Na janela Adicionar membros, em Novos membros, digite o endereço do gmail.com do usuário de teste.
4. Em Selecionar um papel, selecione Projeto > Proprietário.
5. Clique em Salvar.

Em seguida, você verifica se o detector de concessão anômala de IAM criou uma descoberta.

Etapa 3: como ver a descoberta no Security Command Center

Para ver a descoberta do Event Threat Detection em Security Command Center:

1. Acesse a página Descobertas do Security Command Center no Console do Google Cloud.

   Acesse Descobertas

2. Na seção Categoria do painel Filtros rápidos, selecione Persistência: concessão anômala do IAM. Se necessário, clique em Saber mais para encontrá-la. O painel Resultados da consulta de descobertas é atualizado para mostrar apenas a categoria de descoberta selecionada.

3. Para classificar a lista no painel Resultados da consulta de descobertas, clique no cabeçalho da coluna Horário do evento para que a descoberta mais recente seja exibida primeiro.

4. No painel Resultados da consulta de descobertas, exiba os detalhes da descoberta clicando em Persistência: concessão anômala do IAM na coluna Categoria. O painel de detalhes da descoberta é aberto e exibe a guia Resumo.

5. Verifique o valor na linha E-mail principal. Precisa ser o endereço de e-mail de teste gmail.com a que você concedeu a propriedade.

Se uma descoberta não corresponder à conta de teste do gmail.com, verifique as configurações do Event Threat Detection.

Etapa 4: como visualizar a descoberta no Cloud Logging

Se você ativou as descobertas de registro no Cloud Logging, será possível visualizá-las. A visualização das descobertas de geração de registros no Cloud Logging só estará disponível se você ativar o nível Premium do Security Command Center Premium no nível da organização.

1. Acesse o Explorador de registros no console do Google Cloud.

   Acessar o Explorador de registros

2. No Seletor de projetos, na parte superior da página, selecione o projeto em que você está armazenando os registros do Event Threat Detection.

3. Clique na guia Criador de consultas.

4. Na lista suspensa Recursos, selecione Detector de Ameaças.

5. Em Nome do detector, selecione iam_anomalous_grant e clique em Adicionar. A consulta aparece na caixa de texto do criador de consultas.

6. Como alternativa, insira a seguinte consulta na caixa de texto:

   resource.type="threat_detector" resource.labels.detector_name="iam_anomalous_grant"
   

7. Clique em Run. A tabela Resultados da consulta é atualizada com os registros selecionados por você.

8. Para visualizar um registro, clique em uma linha da tabela e, em seguida, clique em Expandir campos aninhados

Se você não encontrar uma descoberta para a regra de concessão anômalas do IAM, verifique as configurações do Event Threat Detection.

Limpar

Quando terminar o teste, remova o usuário de teste da organização.

1. Acesse a página IAM e administrador no console do Google Cloud.
   Acessar a página "IAM e administrador"
2. Ao lado do endereço gmail.com do usuário de teste, clique em Editar.
3. No painel Editar permissões exibido, clique em Excluir para todos os papéis concedidos ao usuário de teste.
4. Clique em Salvar.

A seguir

• Saiba mais sobre como usar o Event Threat Detection.
• Leia uma visão geral de alto nível dos conceitos do Event Threat Detection.
• Saiba como investigar e desenvolver planos de resposta para ameaças.