测试 Event Threat Detection

>

通过有意触发 IAM 异常授权检测器并检查发现结果,验证事件威胁检测在正常运行。Event Threat Detection 是 Security Command Center 付费级的内置服务。如要查看 Event Threat Detection 结果,您必须在 Security Command Center 服务设置中启用该服务。

准备工作

为完成本指南,您必须拥有具有 resourcemanager.projects.setIamPolicy 权限的身份和访问权限管理 (IAM) 角色,例如 Project IAM Admin 角色。

测试 Event Threat Detection

为了测试 Event Threat Detection,您需要创建一个测试用户,授予权限,然后在 Security Command Center 信息中心和 Cloud Logging 中查看发现结果。

第 1 步:创建测试用户

如需触发检测器,您需要一个具有 gmail.com 电子邮件地址的测试用户。您可以创建一个 gmail.com 帐号,然后向其授予您要在其中执行测试的项目的访问权限。

  1. 转到 Cloud Console 中的 IAM 和管理页面。
    转到“IAM 和管理”页面
  2. IAM 和管理页面上,点击添加
  3. 添加成员 窗口的 新成员 下方,输入测试用户的 gmail.com 地址。
  4. 选择角色下,选择项目 > 浏览器
  5. 点击保存

第 2 步:触发 IAM 异常授权检测器

向 gmail.com 电子邮件地址授予 Project Editor 角色,以触发 IAM 异常授权检测器。 注意:目前,此发现结果只有具有 gmail.com 电子邮件地址的 Security Command Center 用户才触发。

  1. 转到 Cloud Console 中的 IAM 和管理页面。
    转到“IAM 和管理”页面
  2. 在测试用户的 gmail.com 地址旁边,点击修改
  3. 在显示的修改权限面板上,点击添加其他角色
  4. 选择项目 > Editor
  5. 点击保存

接下来,您需要验证 IAM Anomalous Grant 检测器是否写入发现结果。

第 3 步:在 Security Command Center 中查看发现结果

若要在 Security Command Center 中查看 Event Threat Detection 的发现结果,请执行以下操作:

  1. 转到 Cloud Console 中的 Security Command Center 发现结果标签页。
    转到“发现结果”
  2. 查看方式旁边,点击来源类型
  3. 来源类型列表中,选择 Event Threat Detection
  4. 过滤条件框中,输入 category:iam
  5. 点击 eventTime 列标题对列表进行排序,以便优先显示最新的发现结果。
  6. 点击发现类型名称 Persistence: Iam Anomaloos Grant 以显示 Finding Details 面板。
  7. 发现详细信息面板上,点击来源属性properties 字段应显示您向其授予权限的测试 gmail.com 电子邮件地址。

如果发现结果看起来与测试 gmail.com 帐号不匹配,请验证您的 Event Threat Detection 设置。

第 3 步:在 Cloud Logging 中查看发现结果

如果您启用了将发现结果记录到 Cloud Logging,则可以在其中查看。

  1. 在 Cloud Console 中,转到日志查看器页面。
    转到“日志查看器”页面
  2. 日志查看器页面上,点击选择,然后点击您存储 Event Threat Detection 日志的项目。
  3. 在资源下拉列表中,选择 Cloud Threat Detector,然后选择 iam_anomalous_grant
  4. 如需查看日志,请点击日志名称,然后点击展开所有部分

如果您没有看到 IAM 异常授予规则的发现结果,请验证 Event Threat Detection 设置。

清理

完成测试后,您可以从项目中移除测试用户。

  1. 转到 Cloud Console 中的 IAM 和管理页面。
    转到“IAM 和管理”页面
  2. 在测试用户的 gmail.com 地址旁边,点击修改
  3. 在显示的修改权限面板上,针对已授予测试用户的所有角色点击删除
  4. 点击保存

后续步骤