测试 Sensitive Actions Service

通过有意触发 Persistence: project SSH key added 检测器并检查发现结果,验证敏感操作服务是否正常运行。

如需详细了解敏感操作服务,请参阅敏感操作服务概览

准备工作

为完成本指南,您必须拥有 Identity and Access Management (IAM) 角色以及要执行测试的项目中的 compute.projects.setCommonInstanceMetadataiam.serviceAccounts.actAs 权限,例如 Compute Admin 角色 (roles/compute.admin)。

测试 Sensitive Actions Service

如需测试敏感操作服务,您需要添加项目级 SSH 密钥,这可能会授予 SSH 密钥对项目中所有实例的访问权限。

如果项目中已设置项目级 SSH 密钥,此检测器不会生成发现结果。选择尚无任何项目级 SSH 密钥的项目。

第 1 步:触发敏感操作服务检测器

如需触发检测器,您需要一个测试用户账号。您可以使用 gmail.com 电子邮件地址创建测试用户账号,也可以使用贵组织中的现有用户账号。您将测试用户账号添加到组织,并向其授予过多权限。

如需详细了解如何添加项目级 SSH 密钥,请参阅将 SSH 密钥添加到项目元数据。如需了解如何生成 SSH 密钥,请参阅创建 SSH 密钥

  1. 转到 Google Cloud 控制台中的 Compute Engine 元数据页面。

    转到元数据

  2. 点击 SSH 密钥标签页。

  3. 验证项目目前是否未设置任何 SSH 密钥。如果已设置 SSH 密钥,您会在表格中看到现有密钥,并且测试将无法运行。为测试选择一个没有任何现有项目级 SSH 密钥的项目。

  4. 点击添加 SSH 密钥

  5. 将公钥添加到文本框中。如需详细了解如何生成 SSH 密钥,请参阅创建 SSH 密钥

  6. 点击保存

接下来,验证 Persistence: project SSH key added 检测器是否写入了发现结果。

第 2 步:在 Security Command Center 中查看发现结果

如需在控制台中查看敏感操作服务发现结果,请按以下步骤操作:

Google Cloud 控制台

  1. 在 Google Cloud 控制台中,前往 Security Command Center 的发现结果页面。

    前往“发现结果”页面

  2. 选择您的 Google Cloud 项目或组织。
  3. 快速过滤条件部分的来源显示名称子部分中,选择敏感操作服务。发现结果的查询结果会更新为仅显示此来源的发现结果。
  4. 如需查看特定发现结果的详细信息,请点击类别列中的发现结果名称。 系统会打开发现结果的详细信息面板,并显示摘要标签页。
  5. 摘要标签页上,查看发现结果的详细信息,包括有关检测到的内容、受影响的资源的信息,以及您可以采取的发现结果修复步骤(如果有)。
  6. 可选:如需查看发现结果的完整 JSON 定义,请点击 JSON 标签页。

安全运维控制台

  1. 在 Security Operations 控制台中,前往发现结果页面。
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
    

    CUSTOMER_SUBDOMAIN 替换为您的客户专用标识符。

  2. 汇总部分中,点击以展开来源显示名称子部分。
  3. 选择 Sensitive Actions Service。发现结果的查询结果会更新为仅显示此来源的发现结果。
  4. 如需查看特定发现结果的详细信息,请点击类别列中的发现结果名称。 系统会打开发现结果的详细信息面板,并显示摘要标签页。
  5. 摘要标签页上,查看发现结果的详细信息,包括有关检测到的内容、受影响的资源的信息,以及您可以采取的发现结果修复步骤(如果有)。
  6. 可选:如需查看发现结果的完整 JSON 定义,请点击 JSON 标签页。

第 3 步:在 Cloud Logging 中查看发现结果

您可以使用 Cloud Logging 查看敏感操作日志条目。

  1. 转到 Google Cloud 控制台中的日志浏览器

    转到日志浏览器

  2. 如有需要,请使用页面顶部的组织选择器切换到组织视图。

  3. 使用查询窗格构建查询:

    1. 所有资源列表中,选择 sensitiveaction.googleapis.com/Location
    2. 点击应用查询结果表将根据您选择的日志进行更新。
  4. 要查看日志,请点击表行,然后点击展开嵌套字段

清理

完成测试后,请移除项目级 SSH 密钥。

  1. 转到 Google Cloud 控制台中的 Compute Engine 元数据页面。

    转到元数据

  2. 点击修改

  3. 点击 SSH 密钥旁边的 删除项

  4. 点击保存

后续步骤