Sensitive Actions Service のテスト

Persistence: project SSH key added 検出機能を意図的にトリガーして検出結果を確認することで、Sensitive Actions Service が機能していることを検証します。

Sensitive Actions Service サービスの詳細については、Sensitive Actions Service の概要をご覧ください。

始める前に

このガイドを完了するには、テストを行うプロジェクトでの compute.projects.setCommonInstanceMetadata 権限と iam.serviceAccounts.actAs 権限を持つ Identity and Access Management(IAM)のロールが必要です。例、コンピューティング 管理ロール(roles/compute.admin

Sensitive Actions Service のテスト

Sensitive Actions Service をテストするには、プロジェクト レベルの SSH 認証鍵を追加します。これにより、プロジェクト内のすべてのインスタンスに対する SSH 認証鍵によるアクセスが許可されます。

プロジェクトにプロジェクト レベルの SSH 認証鍵がすでに設定されている場合、この検出器は検出結果を生成しません。プロジェクト レベルの SSH 認証鍵がないプロジェクトを選択します。

手順 1: Sensitive Actions Service 検出機能をトリガーする

検出器をトリガーするには、テスト用のユーザー アカウントが必要です。gmail.com のメールアドレスを使用してテスト ユーザー アカウントを作成するか、組織内の既存のユーザー アカウントを使用できます。テスト用のユーザー アカウントを組織に追加し、過剰な権限を付与します。

プロジェクト レベルで SSH 認証鍵を追加する方法については、プロジェクト メタデータに SSH 認証鍵を追加するをご覧ください。SSH 認証鍵の生成方法については、SSH 認証鍵を作成するをご覧ください。

  1. Google Cloud コンソールで Compute Engine メタデータ ページに移動します。

    [メタデータ] に移動

  2. [SSH 認証鍵] タブをクリックします。

  3. 現在、プロジェクトに SSH 認証鍵が設定されていないことを確認します。SSH 認証鍵が設定されている場合、既存の鍵がテーブルに表示され、テストは機能しません。テスト用に、既存のプロジェクト レベルの SSH 認証鍵がないプロジェクトを選択します。

  4. [SSH 認証鍵を追加] をクリックします。

  5. テキスト ボックスに公開鍵を追加します。SSH 認証鍵の生成方法については、SSH 認証鍵を作成するをご覧ください。

  6. [保存] をクリックします。

次に、Persistence: project SSH key added 検出機能によって検出結果が書き込まれたことを確認します。

手順 2: 検出結果を Security Command Center に表示する

コンソールで Sensitive Actions Service の検出結果を確認する手順は次のとおりです。

Google Cloud コンソール

  1. Google Cloud コンソールで、Security Command Center の [検出結果] ページに移動します。

    [検出結果] に移動

  2. Google Cloud プロジェクトまたは組織を選択します。
  3. [クイック フィルタ] セクションの [ソースの表示名] サブセクションで、[Sensitive Actions Service] を選択します。検出結果クエリの結果は、このソースからの検出結果のみを表示するように更新されます。
  4. 特定の検出結果の詳細を表示するには、[カテゴリ] 列の検出結果の名前をクリックします。検出結果の詳細パネルが開き、[概要] タブが表示されます。
  5. [概要] タブで、検出された内容、影響を受けるリソース、検出結果の修正手順(ある場合)に関する情報など、検出結果の詳細を確認します。
  6. 省略可: 検出結果の完全な JSON 定義を表示するには、[JSON] タブをクリックします。

Security Operations コンソール

  1. Security Operations コンソールで、[検出結果] ページに移動します。
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
    

    CUSTOMER_SUBDOMAIN は、お客様固有の ID に置き換えます。

  2. [集計] セクションで、[ソース表示名] サブセクションをクリックして展開します。
  3. [Sensitive Actions Service] を選択します。検出結果クエリの結果は、このソースからの検出結果のみを表示するように更新されます。
  4. 特定の検出結果の詳細を表示するには、[カテゴリ] 列の検出結果の名前をクリックします。検出結果の詳細パネルが開き、[概要] タブが表示されます。
  5. [概要] タブで、検出された内容、影響を受けるリソース、検出結果の修正手順(ある場合)に関する情報など、検出結果の詳細を確認します。
  6. 省略可: 検出結果の完全な JSON 定義を表示するには、[JSON] タブをクリックします。

手順 3: 検出結果を Cloud Logging に表示する

機密性の高いアクションのログエントリを表示するには、Cloud Logging を使用します。

  1. Google Cloud コンソールの [ログ エクスプローラ] に移動します。

    [ログ エクスプローラ] に移動

  2. 必要に応じて、ページ上部の組織セレクタを使用して組織ビューに切り替えます。

  3. [Query builder] タブをクリックします。

  4. [リソース] プルダウン リストで、[sensitiveaction.googleapis.com/Location] を選択します。

  5. [RUN QUERY] をクリックします。[クエリ結果] テーブルが選択したログで更新されます。

  6. ログを表示するには、テーブル行をクリックし、[ネストされたフィールドを開く] をクリックします。

クリーンアップ

テストが完了したら、プロジェクト レベルの SSH 認証鍵を削除します。

  1. Google Cloud コンソールで Compute Engine メタデータ ページに移動します。

    [メタデータ] に移動

  2. [編集] をクリックします。

  3. SSH 認証鍵の横にある 項目を削除します」をクリックします。

  4. [保存] をクリックします。

次のステップ