Persistence: project SSH key added
検出機能を意図的にトリガーして検出結果を確認することで、Sensitive Actions Service が機能していることを検証します。
Sensitive Actions Service サービスの詳細については、Sensitive Actions Service の概要をご覧ください。
始める前に
このガイドを完了するには、テストを行うプロジェクトでの compute.projects.setCommonInstanceMetadata
権限と iam.serviceAccounts.actAs
権限を持つ Identity and Access Management(IAM)のロールが必要です。例、コンピューティング 管理ロール(roles/compute.admin
)
Sensitive Actions Service のテスト
Sensitive Actions Service をテストするには、プロジェクト レベルの SSH 認証鍵を追加します。これにより、プロジェクト内のすべてのインスタンスに対する SSH 認証鍵によるアクセスが許可されます。
プロジェクトにプロジェクト レベルの SSH 認証鍵がすでに設定されている場合、この検出器は検出結果を生成しません。プロジェクト レベルの SSH 認証鍵がないプロジェクトを選択します。
手順 1: Sensitive Actions Service 検出機能をトリガーする
検出器をトリガーするには、テスト用のユーザー アカウントが必要です。gmail.com のメールアドレスを使用してテスト ユーザー アカウントを作成するか、組織内の既存のユーザー アカウントを使用できます。テスト用のユーザー アカウントを組織に追加し、過剰な権限を付与します。
プロジェクト レベルで SSH 認証鍵を追加する方法については、プロジェクト メタデータに SSH 認証鍵を追加するをご覧ください。SSH 認証鍵の生成方法については、SSH 認証鍵を作成するをご覧ください。
Google Cloud コンソールで Compute Engine メタデータ ページに移動します。
[SSH 認証鍵] タブをクリックします。
現在、プロジェクトに SSH 認証鍵が設定されていないことを確認します。SSH 認証鍵が設定されている場合、既存の鍵がテーブルに表示され、テストは機能しません。テスト用に、既存のプロジェクト レベルの SSH 認証鍵がないプロジェクトを選択します。
[SSH 認証鍵を追加] をクリックします。
テキスト ボックスに公開鍵を追加します。SSH 認証鍵の生成方法については、SSH 認証鍵を作成するをご覧ください。
[保存] をクリックします。
次に、Persistence: project SSH key added
検出機能によって検出結果が書き込まれたことを確認します。
手順 2: 検出結果を Security Command Center に表示する
コンソールで Sensitive Actions Service の検出結果を確認する手順は次のとおりです。
Google Cloud コンソール
- Google Cloud コンソールで、Security Command Center の [検出結果] ページに移動します。
- Google Cloud プロジェクトまたは組織を選択します。
- [クイック フィルタ] セクションの [ソースの表示名] サブセクションで、[Sensitive Actions Service] を選択します。検出結果クエリの結果は、このソースからの検出結果のみを表示するように更新されます。
- 特定の検出結果の詳細を表示するには、[カテゴリ] 列の検出結果の名前をクリックします。検出結果の詳細パネルが開き、[概要] タブが表示されます。
- [概要] タブで、検出された内容、影響を受けるリソース、検出結果の修正手順(ある場合)に関する情報など、検出結果の詳細を確認します。
- 省略可: 検出結果の完全な JSON 定義を表示するには、[JSON] タブをクリックします。
Security Operations コンソール
-
Security Operations コンソールで、[検出結果] ページに移動します。
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
CUSTOMER_SUBDOMAIN
は、お客様固有の ID に置き換えます。 - [集計] セクションで、[ソース表示名] サブセクションをクリックして展開します。
- [Sensitive Actions Service] を選択します。検出結果クエリの結果は、このソースからの検出結果のみを表示するように更新されます。
- 特定の検出結果の詳細を表示するには、[カテゴリ] 列の検出結果の名前をクリックします。検出結果の詳細パネルが開き、[概要] タブが表示されます。
- [概要] タブで、検出された内容、影響を受けるリソース、検出結果の修正手順(ある場合)に関する情報など、検出結果の詳細を確認します。
- 省略可: 検出結果の完全な JSON 定義を表示するには、[JSON] タブをクリックします。
手順 3: 検出結果を Cloud Logging に表示する
機密性の高いアクションのログエントリを表示するには、Cloud Logging を使用します。
Google Cloud コンソールの [ログ エクスプローラ] に移動します。
必要に応じて、ページ上部の組織セレクタを使用して組織ビューに切り替えます。
[Query builder] タブをクリックします。
[リソース] プルダウン リストで、[sensitiveaction.googleapis.com/Location] を選択します。
[RUN QUERY] をクリックします。[クエリ結果] テーブルが選択したログで更新されます。
ログを表示するには、テーブル行をクリックし、[ネストされたフィールドを開く] をクリックします。
クリーンアップ
テストが完了したら、プロジェクト レベルの SSH 認証鍵を削除します。
Google Cloud コンソールで Compute Engine メタデータ ページに移動します。
[編集] をクリックします。
SSH 認証鍵の横にある
「項目を削除します」をクリックします。[保存] をクリックします。
次のステップ
- Sensitive Actions Service の使用方法を確認する。
- Sensitive Actions Service のコンセプトの概要を確認する。
- 脅威に対する対応計画の調査と開発の方法を学習する。