本頁面由 Cloud Translation API 翻譯而成。

測試 Event Threat Detection

請刻意觸發 IAM 異常授權偵測工具，並檢查是否有發現項目，確認 Event Threat Detection 正常運作。

Event Threat Detection 是一項內建服務，可監控貴機構的 Cloud Logging 和 Google Workspace 記錄串流，並近乎即時地偵測威脅。詳情請參閱「Event Threat Detection 總覽」。

事前準備

如要查看 Event Threat Detection 發現結果，必須在 Security Command Center 的「服務」設定中啟用這項服務。

如要完成本指南，您必須具備含有 resourcemanager.projects.setIamPolicy 權限的 Identity and Access Management (IAM) 角色，例如專案 IAM 管理員角色。

如要測試 Event Threat Detection，請建立測試使用者、授予權限，然後在 Google Cloud 控制台和 Cloud Logging 中查看調查結果。

如要觸發偵測器，您需要使用 gmail.com 電子郵件地址的測試使用者。您可以建立 gmail.com 帳戶，然後授予該帳戶存取權，以便在要進行測試的專案中執行測試。請確認這個 gmail.com 帳戶在執行測試的專案中，沒有任何身分與存取權管理權限。

邀請 gmail.com 電子郵件地址擔任專案擁有者角色，觸發 IAM 異常授予行為偵測器。

接著，請確認 IAM 異常授權偵測器是否已寫入發現項目。

如要在 Security Command Center 中查看 Event Threat Detection 發現結果，請按照下列步驟操作：

在 Google Cloud 控制台中，前往 Security Command Center 的「發現項目」頁面。

前往「發現項目」
在「快速篩選器」面板的「類別」部分，選取「持續性：IAM 異常授權」。如有需要，請按一下「查看更多」尋找該項目。「發現項目查詢結果」面板會更新，只顯示所選的發現項目類別。
如要在「發現項目查詢結果」面板中排序清單，請按一下「事件時間」欄標題，讓最近的發現項目顯示在最前面。
在「發現項目查詢結果」面板中，按一下「類別」欄中的「Persistence: IAM Anomalous Grant」(持續性：IAM 異常授權)，即可顯示發現項目的詳細資料。系統會開啟發現項目的詳細資料面板，並顯示「摘要」分頁。
檢查「主要電子郵件」列的值。這應該是您授予擁有權的 testgmail.com 電子郵件地址。

如果沒有與測試 gmail.com 帳戶相符的發現項目，請檢查事件威脅偵測設定。

如果您已啟用將發現項目記錄至 Cloud Logging 的功能，就能在該處查看發現項目。如要在 Cloud Logging 中查看記錄發現項目，您必須在機構層級啟用 Security Command Center 進階方案。

如果沒有看到 IAM 異常授權規則的調查結果，請檢查事件威脅偵測設定。

測試完成後，請從專案中移除測試使用者。