Sensitive Actions Service testen

Prüfen Sie, ob der Dienst für sensible Aktionen funktioniert, indem Sie absichtlich den Detektor Persistence: project SSH key added auslösen und nach Ergebnissen suchen.

Weitere Informationen zum Dienst „Sensitive Actions Service“ finden Sie unter Sensitive Actions Service – Übersicht.

Hinweise

Sie können diese Anleitung nur ausführen, wenn Sie eine IAM-Rolle (Identity and Access Management) mit den Berechtigungen compute.projects.setCommonInstanceMetadata und iam.serviceAccounts.actAs im Projekt haben, in dem Sie den Test ausführen, z. B. die Rolle „Compute-Administrator“ (roles/compute.admin).

Sensitive Actions Service testen

Wenn Sie den Dienst für sensible Aktionen testen möchten, fügen Sie einen SSH-Schlüssel auf Projektebene hinzu, der allen Instanzen im Projekt SSH-Schlüsselzugriff gewähren kann.

Dieser Detector generiert keine Meldung, wenn für das Projekt bereits ein SSH-Schlüssel auf Projektebene festgelegt ist. Wählen Sie ein Projekt aus, für das noch keine SSH-Schlüssel auf Projektebene vorhanden sind.

Schritt 1: Dienst-Detektor für sensible Aktionen auslösen

Um den Detektor auszulösen, benötigen Sie ein Testnutzerkonto. Sie können ein Testnutzerkonto mit einer Gmail-Adresse erstellen oder ein vorhandenes Nutzerkonto in Ihrer Organisation verwenden. Sie fügen das Testnutzerkonto Ihrer Organisation hinzu und gewähren ihm zu viele Berechtigungen.

Weitere Informationen zum Hinzufügen des SSH-Schlüssels auf Projektebene finden Sie unter SSH-Schlüssel zu Projektmetadaten hinzufügen. Eine Anleitung zum Generieren eines SSH-Schlüssels finden Sie unter SSH-Schlüssel erstellen.

  1. Rufen Sie in der Google Cloud -Konsole die Seite Compute Engine-Metadaten auf.

    Zur Seite "Metadaten"

  2. Klicken Sie auf den Tab SSH-Schlüssel.

  3. Prüfen Sie, ob für das Projekt derzeit keine SSH-Schlüssel festgelegt sind. Wenn SSH-Schlüssel festgelegt sind, werden die vorhandenen Schlüssel in einer Tabelle angezeigt und der Test funktioniert nicht. Wählen Sie für den Test ein Projekt aus, für das keine SSH-Schlüssel auf Projektebene vorhanden sind.

  4. Klicken Sie auf SSH-Schlüssel hinzufügen.

  5. Fügen Sie einen öffentlichen Schlüssel in das Textfeld ein. Weitere Informationen zum Generieren eines SSH-Schlüssels finden Sie unter SSH-Schlüssel erstellen.

  6. Klicken Sie auf Speichern.

Prüfen Sie als Nächstes, ob der Persistence: project SSH key added-Detektor Ergebnisse geschrieben hat.

Schritt 2: Ergebnis in Security Command Center ansehen

So rufen Sie die Ergebnisse des Dienstes für sensible Aktionen in der Console auf:

Google Cloud Console

  1. Rufen Sie in der Google Cloud Console die Seite Ergebnisse des Security Command Center auf.

    Zu Ergebnissen

  2. Wählen Sie Ihr Google Cloud -Projekt oder ‑Organisation aus.
  3. Wählen Sie im Abschnitt Schnellfilter im Unterabschnitt Anzeigename der Quelle die Option Dienst für sensible Aktionen aus. Die Ergebnisse der Ergebnisabfrage werden aktualisiert, sodass nur die Ergebnisse aus dieser Quelle angezeigt werden.
  4. Klicken Sie in der Spalte Kategorie auf den Namen des Ergebnisses, um Details zu einem bestimmten Ergebnis aufzurufen. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.
  5. Auf dem Tab Zusammenfassung finden Sie Details zum Ergebnis, einschließlich Informationen dazu, was erkannt wurde, zur betroffenen Ressource und – falls verfügbar – zu den Schritten, die Sie unternehmen können, um das Problem zu beheben.
  6. Optional: Klicken Sie auf den Tab JSON, um die vollständige JSON-Definition des Ergebnisses aufzurufen.

Security Operations Console

  1. Rufen Sie in der Security Operations Console die Seite Ergebnisse auf.
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
    

    Ersetzen Sie CUSTOMER_SUBDOMAIN durch Ihre kundenspezifische Kennung.

  2. Maximieren Sie im Bereich Aggregationen den Unterabschnitt Anzeigename der Quelle.
  3. Wählen Sie Sensitive Actions Service aus. Die Ergebnisse der Ergebnisabfrage werden aktualisiert, sodass nur die Ergebnisse aus dieser Quelle angezeigt werden.
  4. Klicken Sie in der Spalte Kategorie auf den Namen des Ergebnisses, um Details zu einem bestimmten Ergebnis aufzurufen. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.
  5. Auf dem Tab Zusammenfassung finden Sie Details zum Ergebnis, einschließlich Informationen dazu, was erkannt wurde, zur betroffenen Ressource und – falls verfügbar – zu den Schritten, die Sie unternehmen können, um das Problem zu beheben.
  6. Optional: Klicken Sie auf den Tab JSON, um die vollständige JSON-Definition des Ergebnisses aufzurufen.

Schritt 3: Ergebnis in Cloud Logging anzeigen

Sie können Logeinträge zu vertraulichen Aktionen mit Cloud Logging aufrufen.

  1. Rufen Sie in der Google Cloud -Konsole den Log-Explorer auf.

    Zum Log-Explorer

  2. Wechseln Sie bei Bedarf mithilfe der Auswahl für die Organisation oben auf der Seite zur Organisationsansicht.

  3. Erstellen Sie im Bereich Abfrage eine Abfrage:

    1. Wählen Sie in der Liste Alle Ressourcen die Option sensitiveaction.googleapis.com/Location aus.
    2. Klicken Sie auf Anwenden. Die Tabelle Abfrageergebnisse wird mit den ausgewählten Logs aktualisiert.
  4. Zum Aufrufen eines Logs klicken Sie auf eine Tabellenzeile und dann auf Verschachtelte Felder erweitern.

Bereinigen

Entfernen Sie den SSH-Schlüssel auf Projektebene, wenn die Tests abgeschlossen sind.

  1. Rufen Sie in der Google Cloud -Konsole die Seite Compute Engine-Metadaten auf.

    Zur Seite "Metadaten"

  2. Klicken Sie auf Bearbeiten.

  3. Klicken Sie neben dem SSH-Schlüssel auf Element löschen.

  4. Klicken Sie auf Speichern.

Nächste Schritte