Verifica que el servicio de acciones sensibles funciona activando intencionadamente el detector Persistence: project SSH key added y comprobando si hay resultados.
Para obtener más información sobre el servicio Sensitive Actions Service, consulta el artículo Descripción general de Sensitive Actions Service.
Antes de empezar
Para completar esta guía, debes tener un rol de gestión de identidades y accesos con los permisos compute.projects.setCommonInstanceMetadata y iam.serviceAccounts.actAs en el proyecto en el que vas a realizar la prueba, como el rol de administrador de Compute (roles/compute.admin).
Prueba del servicio de acciones sensibles
Para probar el servicio Acciones Sensibles, añade una clave SSH a nivel de proyecto, que puede conceder acceso con clave SSH a todas las instancias del proyecto.
Este detector no genera un resultado si ya hay una clave SSH a nivel de proyecto configurada en el proyecto. Elige un proyecto que no tenga ninguna clave SSH a nivel de proyecto.
Paso 1: Activar un detector de Sensitive Actions Service
Para activar el detector, necesitas una cuenta de usuario de prueba. Puedes crear una cuenta de usuario de prueba con una dirección de correo de gmail.com o usar una cuenta de usuario de tu organización. Añade la cuenta de usuario de prueba a tu organización y concédele permisos excesivos.
Para obtener más instrucciones sobre cómo añadir la clave SSH a nivel de proyecto, consulta Añadir claves SSH a los metadatos del proyecto. Para obtener instrucciones sobre cómo generar una clave SSH, consulta Crear claves SSH.
Ve a la página Metadatos de Compute Engine de la consola de Google Cloud Google Cloud.
Haz clic en la pestaña Claves SSH.
Comprueba que no haya ninguna clave SSH configurada en el proyecto. Si se han definido claves SSH, verá las claves en una tabla y la prueba no funcionará. Elige un proyecto que no tenga ninguna clave SSH a nivel de proyecto para la prueba.
Haz clic en Añadir clave SSH.
Añade una clave pública en el cuadro de texto. Para obtener más información sobre cómo generar una clave SSH, consulta el artículo Crear claves SSH.
Haz clic en Guardar.
A continuación, comprueba que el detector Persistence: project SSH key added ha escrito resultados.
Paso 2: Ver el resultado en Security Command Center
Para revisar los resultados del servicio Acciones sensibles en la consola, sigue estos pasos:
- En la Google Cloud consola, ve a la página Resultados de Security Command Center.
- Selecciona tu Google Cloud proyecto u organización.
- En la sección Filtros rápidos, en la subsección Nombre visible de la fuente, seleccione Servicio de acciones sensibles. Los resultados de la consulta de detecciones se actualizan para mostrar solo las detecciones de esta fuente.
- Para ver los detalles de un resultado específico, haga clic en su nombre en la columna Categoría. Se abre el panel de detalles del resultado y se muestra la pestaña Resumen.
- En la pestaña Resumen, consulta los detalles de la detección, incluida la información sobre lo que se ha detectado, el recurso afectado y, si está disponible, los pasos que puedes seguir para corregir la detección.
- Opcional: Para ver la definición JSON completa de la detección, haga clic en la pestaña JSON.
Paso 3: Ver el resultado en Cloud Logging
Puede ver las entradas de registro de acciones sensibles mediante Cloud Logging.
Ve a Explorador de registros en la consola de Google Cloud .
Si es necesario, cambia a la vista de organización mediante el selector de organización situado en la parte superior de la página.
Usa el panel Consulta para crear tu consulta:
- En la lista Todos los recursos, selecciona sensitiveaction.googleapis.com/Location.
- Haz clic en Aplicar. La tabla Resultados de la consulta se actualiza con los registros que has seleccionado.
Para ver un registro, haga clic en una fila de la tabla y, a continuación, en Ampliar campos anidados.
Limpieza
Cuando hayas terminado de hacer pruebas, elimina la clave SSH a nivel de proyecto.
Ve a la página Metadatos de Compute Engine en la Google Cloud consola.
Haz clic en Editar.
Haz clic en Eliminar elemento junto a la clave SSH.
Haz clic en Guardar.
Siguientes pasos
- Más información sobre cómo usar el servicio de acciones sensibles
- Consulta una descripción general de los conceptos del servicio de acciones sensibles.
- Consulta cómo investigar y desarrollar planes de respuesta ante amenazas.