Tester le service d'actions sensibles

Vérifiez que le service d'actions sensibles fonctionne en déclenchant intentionnellement le détecteur Persistence: project SSH key added et en vérifiant les résultats.

Pour en savoir plus sur le service Sensitive Actions Service, consultez la présentation du service Sensitive Actions Service.

Avant de commencer

Pour suivre ce guide, vous devez disposer d'un rôle IAM (Identity and Access Management) disposant des autorisations compute.projects.setCommonInstanceMetadata et iam.serviceAccounts.actAs dans le projet dans lequel vous effectuerez le test, tel que le rôle Administrateur Compute (roles/compute.admin).

Tester le service d'actions sensibles

Pour tester le service d'actions sensibles, vous devez ajouter une clé SSH au niveau du projet, ce qui peut accorder à la clé SSH l'accès à toutes les instances du projet.

Ce détecteur ne génère pas de résultat si une clé SSH au niveau du projet est déjà définie sur le projet. Choisissez un projet qui ne comporte pas encore de clés SSH au niveau du projet.

Étape 1: Déclencher un détecteur du service d'actions sensibles

Pour déclencher le détecteur, vous avez besoin d'un compte utilisateur test. Vous pouvez créer un compte utilisateur de test avec une adresse e-mail gmail.com ou utiliser un compte utilisateur existant dans votre organisation. Vous ajoutez le compte utilisateur de test à votre organisation et lui accordez des autorisations excessives.

Pour savoir comment ajouter la clé SSH au niveau du projet, consultez la section Ajouter des clés SSH aux métadonnées de projet. Pour savoir comment générer une clé SSH, consultez la section Créer des clés SSH.

  1. Accédez à la page Métadonnées Compute Engine dans la console Google Cloud.

    Accéder à la page "Métadonnées"

  2. Cliquez sur l'onglet Clés SSH.

  3. Vérifiez qu'aucune clé SSH n'est actuellement définie sur le projet. Si des clés SSH sont définies, les clés existantes s'affichent dans un tableau et le test ne fonctionne pas. Choisissez un projet qui ne comporte aucune clé SSH au niveau du projet pour le test.

  4. Cliquez sur Ajouter une clé SSH.

  5. Ajoutez une clé publique dans la zone de texte. Pour en savoir plus sur la génération d'une clé SSH, consultez la section Créer des clés SSH.

  6. Cliquez sur Enregistrer.

Ensuite, vérifiez que le détecteur Persistence: project SSH key added a des résultats écrits.

Étape 2: Afficher le résultat dans Security Command Center

Pour examiner les résultats du service Actions sensibles dans la console, procédez comme suit:

Console Google Cloud

  1. Dans la console Google Cloud, accédez à la page Résultats de Security Command Center.

    Accéder

  2. Sélectionnez votre projet ou votre organisation Google Cloud.
  3. Dans la section Filtres rapides, dans la sous-section Nom à afficher pour la source, sélectionnez Service d'actions sensibles. Les résultats de la requête de résultats sont mis à jour pour n'afficher que les résultats de cette source.
  4. Pour afficher les détails d'un résultat spécifique, cliquez sur son nom dans la colonne Catégorie. Le panneau d'informations du résultat s'ouvre et affiche l'onglet Résumé.
  5. Dans l'onglet Récapitulatif, examinez les détails de l'anomalie, y compris les informations sur ce qui a été détecté, la ressource concernée et, le cas échéant, les mesures que vous pouvez prendre pour corriger l'anomalie.
  6. Facultatif: Pour afficher la définition JSON complète du résultat, cliquez sur l'onglet JSON.

Console Security Operations

  1. Dans la console Security Operations, accédez à la page Résultats. 
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings

    Remplacez CUSTOMER_SUBDOMAIN par votre identifiant client.

  2. Dans la section Agrégations, cliquez pour développer la sous-section Nom à afficher de la source.
  3. Sélectionnez Service d'actions sensibles. Les résultats de la requête de résultats sont mis à jour pour n'afficher que les résultats de cette source.
  4. Pour afficher les détails d'un résultat spécifique, cliquez sur son nom dans la colonne Catégorie. Le panneau d'informations du résultat s'ouvre et affiche l'onglet Résumé.
  5. Dans l'onglet Récapitulatif, examinez les détails de l'anomalie, y compris les informations sur ce qui a été détecté, la ressource concernée et, le cas échéant, les mesures que vous pouvez prendre pour corriger l'anomalie.
  6. Facultatif: Pour afficher la définition JSON complète du résultat, cliquez sur l'onglet JSON.

Étape 3 : Afficher les résultats dans Cloud Logging

Vous pouvez afficher les entrées de journal des actions sensibles à l'aide de Cloud Logging.

  1. Accédez à l'explorateur de journaux dans la console Google Cloud.

    Accéder à l'explorateur de journaux

  2. Si nécessaire, passez à la vue "Organisation" à l'aide du sélecteur d'organisation en haut de la page.

  3. Cliquez sur l'onglet Générateur de requêtes.

  4. Dans la liste déroulante Ressource, sélectionnez sensitiveaction.googleapis.com/Location".

  5. Cliquez sur Exécuter la requête (Run Query). La table Résultats de la requête est mise à jour avec les journaux que vous avez sélectionnés.

  6. Pour afficher un journal, cliquez sur une ligne du tableau, puis sur Développer les champs imbriqués.

Effectuer un nettoyage

Lorsque vous avez terminé les tests, supprimez la clé SSH au niveau du projet.

  1. Accédez à la page Métadonnées Compute Engine de la console Google Cloud.

    Accéder à la page "Métadonnées"

  2. Cliquez sur Modifier.

  3. Cliquez sur Supprimer l'élément à côté de la clé SSH.

  4. Cliquez sur Enregistrer.

Étape suivante