Verifica que el servicio de acciones sensibles esté funcionando. Para ello, activa de forma intencional el
Persistence: project SSH key added
y verificando si hay resultados.
Para obtener más información sobre el servicio de acciones sensibles, consulta Descripción general del servicio de acciones sensibles.
Antes de comenzar
Para completar esta guía, debes tener un rol de Identity and Access Management (IAM) con
compute.projects.setCommonInstanceMetadata
y iam.serviceAccounts.actAs
en el proyecto en el que realizarás la prueba, como el rol de
Rol de administrador (roles/compute.admin
).
Prueba el servicio de acciones sensibles
Para probar el servicio de acciones sensibles, agrega una clave SSH a nivel de proyecto, la cual puede otorgar acceso clave a todas las instancias del proyecto.
Este detector no genera un resultado si ya hay una clave SSH a nivel del proyecto configurada en el proyecto. Elige un proyecto que aún no tenga ninguna clave SSH a nivel del proyecto.
Paso 1: Activa un detector de servicios de acciones sensibles
Para activar el detector, necesitas una cuenta de usuario de prueba. Puedes crear una cuenta de usuario de prueba con una dirección de correo electrónico de gmail.com o usar una cuenta de usuario existente en tu organización. Agrega la cuenta de usuario de prueba a tu organización y le otorga permisos excesivos.
Para obtener más instrucciones sobre cómo agregar la clave SSH a nivel del proyecto, consulta Agrega claves SSH a los metadatos del proyecto. Si deseas obtener instrucciones para generar una clave SSH, consulta Crea claves SSH.
Ve a la página Metadatos de Compute Engine en la consola de Google Cloud.
Haz clic en la pestaña Claves SSH.
Verifica que, actualmente, no haya ninguna clave SSH configurada en el proyecto. Si se configuran las claves SSH, verás las claves existentes en una tabla y la prueba no funcionará. Elige un proyecto que no tenga ninguna clave SSH a nivel de proyecto para la prueba.
Haz clic en Agregar clave SSH.
Agrega una clave pública al cuadro de texto. Para obtener más detalles sobre cómo generar un clave SSH, consulta Crear claves SSH claves.
Haz clic en Guardar.
A continuación, verifica que el detector de Persistence: project SSH key added
tenga resultados escritos.
Paso 2: Visualiza el hallazgo en Security Command Center
Para revisar los hallazgos del Servicio de acciones sensibles en la consola, sigue estos pasos:
Consola de Google Cloud
- En la consola de Google Cloud, ve a la página Hallazgos de Security Command Center.
- Selecciona tu organización o proyecto de Google Cloud.
- En la sección Filtros rápidos, en la subsección Nombre visible de la fuente, selecciona Servicio de Acciones sensibles. Los resultados de la búsqueda de resultados se actualizan para mostrar solo los los resultados obtenidos de esta fuente.
- Para ver los detalles de un resultado específico, haz clic en el nombre del resultado en Categoría. El del hallazgo, se abre el panel de detalles y se muestra la pestaña Resumen (Summary).
- En la pestaña Resumen, revisa los detalles del hallazgo, incluida la información sobre qué se detectó, el recurso afectado y, si están disponibles, los pasos que puedes realizar para corregir el hallazgo.
- Opcional: Para ver la definición JSON completa del hallazgo, haz clic en la pestaña JSON.
Consola de operaciones de seguridad (versión preliminar)
-
En la consola de Security Operations, ve a la página Resultados.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
Reemplaza
CUSTOMER_SUBDOMAIN
por tu identificador específico del cliente. - En la sección Agregaciones, haz clic para expandir el Nombre visible de la fuente. subsección.
- Selecciona Servicio de acciones sensibles. Los resultados de la búsqueda de resultados se actualizan para mostrar solo los resultados de esta fuente.
- Para ver los detalles de un hallazgo específico, haz clic en el nombre del hallazgo en Categoría. El del hallazgo, se abre el panel de detalles y se muestra la pestaña Resumen (Summary).
- En la pestaña Resumen, revisa los detalles del hallazgo, incluida la información sobre qué se detectó, el recurso afectado y, si están disponibles, los pasos que puedes realizar para corregir el hallazgo.
- Opcional: Para ver la definición JSON completa del hallazgo, haz clic en la pestaña JSON.
Paso 3: Visualiza el resultado en Cloud Logging
Puedes ver las entradas del registro de acciones sensibles con Cloud Logging.
Ve al Explorador de registros en la consola de Google Cloud.
Si es necesario, cambia a la vista de organización con la Selector de organización en la parte superior de la página.
Haz clic en la pestaña Compilador de consultas.
En la lista desplegable Recurso, selecciona sensitiveaction.googleapis.com/Location".
Haga clic en Ejecutar consulta. La tabla Resultados de la consulta se actualiza con los registros. que seleccionaste.
Para ver un registro, haz clic en una fila de la tabla y, luego, en Expandir campos anidados.
Limpia
Cuando termines la prueba, quita la clave SSH a nivel del proyecto.
Ve a la página Metadatos de Compute Engine en la consola de Google Cloud.
Haz clic en Edit.
Haz clic en
Borrar elemento junto a la clave SSH.Haz clic en Guardar.
¿Qué sigue?
- Obtén más información sobre Uso del Servicio de acciones sensibles.
- Lee una descripción general de alto nivel de los conceptos del servicio de Acciones sensibles.
- Aprende a hacer lo siguiente: investigar y desarrollar planes de respuesta para detectar amenazas.