민감한 작업 서비스 테스트

Persistence: project SSH key added 감지기를 의도적으로 트리거하고 발견 항목을 확인하여 민감한 작업 서비스가 작동하는지 확인합니다.

민감한 작업 서비스에 대한 자세한 내용은 민감한 작업 서비스 개요를 참조하세요.

시작하기 전에

이 가이드를 완료하려면 테스트를 수행할 프로젝트에서 compute.projects.setCommonInstanceMetadataiam.serviceAccounts.actAs 권한이 있는 Identity and Access Management(IAM) 역할이 있어야 합니다(예: Compute 관리자 역할(roles/compute.admin)).

민감한 작업 서비스 테스트

민감한 작업 서비스를 테스트하려면 프로젝트의 모든 인스턴스에 SSH 키 액세스 권한을 부여할 수 있는 프로젝트 수준 SSH 키를 추가합니다.

이 감지기는 프로젝트에 프로젝트 수준 SSH 키가 이미 설정된 경우 발견 항목을 생성하지 않습니다. 프로젝트 수준 SSH 키가 아직 없는 프로젝트를 선택합니다.

1단계: 민감한 작업 서비스 감지기 트리거

감지기를 트리거하려면 테스트 사용자 계정이 필요합니다. gmail.com 이메일 주소를 사용하여 테스트 사용자 계정을 만들거나 조직의 기존 사용자 계정을 사용할 수 있습니다. 테스트 사용자 계정을 조직에 추가하고 여기에 과도한 권한을 부여합니다.

프로젝트 수준 SSH 키를 추가하는 방법에 대한 안내는 프로젝트 메타데이터에 SSH 키 추가를 참조하세요. SSH 키를 생성하는 방법에 대한 안내는 SSH 키 만들기를 참조하세요.

  1. Google Cloud 콘솔에서 Compute Engine 메타데이터 페이지로 이동합니다.

    메타데이터로 이동

  2. SSH 키 탭을 클릭합니다.

  3. 현재 프로젝트에 설정된 SSH 키가 없는지 확인합니다. SSH 키가 설정되면 테이블에 기존 키가 표시되며 테스트는 작동하지 않습니다. 테스트에 기존 프로젝트 수준 SSH 키가 없는 프로젝트를 선택합니다.

  4. SSH 키 추가를 클릭합니다.

  5. 텍스트 상자에 공개 키를 추가합니다. SSH 키를 생성하는 방법에 대한 자세한 내용은 SSH 키 만들기를 참조하세요.

  6. 저장을 클릭합니다.

다음으로 Persistence: project SSH key added 감지기로 발견 항목이 기록되었는지 확인합니다.

2단계: Security Command Center에서 발견 항목 보기

콘솔에서 민감한 작업 서비스 발견 항목을 검토하려면 다음 단계를 수행합니다.

Google Cloud 콘솔

  1. Google Cloud 콘솔에서 Security Command Center의 발견 항목 페이지로 이동합니다.

    발견 항목으로 이동

  2. Google Cloud 프로젝트 또는 조직을 선택합니다.
  3. 빠른 필터 섹션의 소스 표시 이름 하위 섹션에서 민감한 작업 서비스를 선택합니다. 이 소스의 발견 항목만 표시되도록 발견 항목 쿼리 결과가 업데이트됩니다.
  4. 특정 발견 항목의 세부정보를 보려면 카테고리에서 발견 항목 이름을 클릭합니다. 발견 항목의 세부정보 패널이 열리고 요약 탭이 표시됩니다.
  5. 요약 탭에서 감지된 항목, 영향을 받은 리소스, 발견 항목을 해결하기 위해 취할 수 있는 단계(있는 경우)에 관한 정보를 포함하여 발견 항목의 세부정보를 검토합니다.
  6. 선택사항: 발견 항목의 전체 JSON 정의를 보려면 JSON 탭을 클릭합니다.

Security Operations 콘솔

  1. Security Operations 콘솔에서 발견 항목 페이지로 이동합니다. 
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings

    CUSTOMER_SUBDOMAIN을 고객별 식별자로 바꿉니다.

  2. 집계 섹션에서 소스 표시 이름 하위 섹션을 클릭하여 펼칩니다.
  3. 민감한 작업 서비스를 선택합니다. 이 소스의 발견 항목만 표시되도록 발견 항목 쿼리 결과가 업데이트됩니다.
  4. 특정 발견 항목의 세부정보를 보려면 카테고리에서 발견 항목 이름을 클릭합니다. 발견 항목의 세부정보 패널이 열리고 요약 탭이 표시됩니다.
  5. 요약 탭에서 감지된 항목, 영향을 받은 리소스, 발견 항목을 해결하기 위해 취할 수 있는 단계(있는 경우)에 관한 정보를 포함하여 발견 항목의 세부정보를 검토합니다.
  6. 선택사항: 발견 항목의 전체 JSON 정의를 보려면 JSON 탭을 클릭합니다.

3단계: Cloud Logging에서 발견 항목 보기

Cloud Logging을 사용하여 민감한 작업 로그 항목을 볼 수 있습니다.

  1. Google Cloud 콘솔의 로그 탐색기로 이동합니다.

    로그 탐색기로 이동

  2. 필요한 경우 페이지 상단에서 조직 선택기를 사용하여 조직 보기로 변경합니다.

  3. 쿼리 빌더 탭을 클릭합니다.

  4. 리소스 드롭다운 목록에서 sensitiveaction.googleapis.com/Location"을 선택합니다.

  5. 쿼리 실행을 클릭합니다. 쿼리 결과 테이블이 선택한 로그로 업데이트됩니다.

  6. 로그를 보려면 표 행을 클릭한 다음 중첩된 필드 확장을 클릭합니다.

삭제

테스트를 마치면 프로젝트 수준 SSH 키를 삭제합니다.

  1. Google Cloud 콘솔에서 Compute Engine 메타데이터 페이지로 이동합니다.

    메타데이터로 이동

  2. 수정을 클릭합니다.

  3. SSH 키 옆에 있는 항목 삭제를 클릭합니다.

  4. 저장을 클릭합니다.

다음 단계