請刻意觸發 Persistence: project SSH key added 偵測器並檢查結果,確認敏感動作服務是否正常運作。
如要進一步瞭解 Sensitive Actions Service 服務,請參閱「Sensitive Actions Service 總覽」。
事前準備
如要完成本指南,您必須在執行測試的專案中,具備含有 compute.projects.setCommonInstanceMetadata 和 iam.serviceAccounts.actAs 權限的身分與存取權管理 (IAM) 角色,例如 Compute 管理員角色 (roles/compute.admin)。
測試敏感動作服務
如要測試 Sensitive Actions Service,請新增專案層級的安全殼層金鑰,這可能會授予專案中所有執行個體的安全殼層金鑰存取權。
如果專案上已設定專案層級的安全殼層金鑰,這個偵測器就不會產生發現項目。選擇沒有任何專案層級 SSH 金鑰的專案。
步驟 1:觸發「敏感動作服務」偵測器
如要觸發偵測器,您需要測試使用者帳戶。您可以使用 gmail.com 電子郵件地址建立測試使用者帳戶,也可以使用貴機構現有的使用者帳戶。將測試使用者帳戶新增至機構,並授予過多的權限。
如需如何新增專案層級安全殼層金鑰的更多操作說明,請參閱「將安全殼層金鑰新增至專案中繼資料」。如需產生 SSH 金鑰的操作說明,請參閱「建立 SSH 金鑰」。
前往 Google Cloud 控制台的「Compute Engine Metadata」(Compute Engine 中繼資料) 頁面。
按一下「SSH Keys」分頁標籤。
確認專案目前未設定任何 SSH 金鑰。如果已設定 SSH 金鑰,表格中會顯示現有金鑰,且測試無法運作。選擇沒有任何現有專案層級 SSH 金鑰的專案,以進行測試。
按一下「新增 SSH 金鑰」。
在文字方塊中新增公開金鑰。如要進一步瞭解如何產生 SSH 金鑰,請參閱「建立 SSH 金鑰」。
按一下 [儲存]。
接著,請確認 Persistence: project SSH key added 偵測工具是否已寫入調查結果。
步驟 2:在 Security Command Center 中查看發現項目
如要在控制台中查看「敏感動作服務」的調查結果,請按照下列步驟操作:
- 在 Google Cloud 控制台中,前往 Security Command Center 的「發現項目」頁面。
- 選取 Google Cloud 專案或機構。
- 在「快速篩選器」部分的「來源顯示名稱」子部分中,選取「Sensitive Actions Service」。發現項目查詢結果會更新,只顯示來自這個來源的發現項目。
- 如要查看特定發現項目的詳細資料,請按一下「類別」欄中的發現項目名稱。 系統會開啟發現項目的詳細資料面板,並顯示「摘要」分頁。
- 在「摘要」分頁中,查看發現項目的詳細資料,包括偵測到的內容、受影響的資源,以及 (如有) 可採取哪些步驟來修正發現項目。
- 選用:如要查看調查結果的完整 JSON 定義,請按一下「JSON」JSON分頁標籤。
步驟 3:在 Cloud Logging 中查看發現項目
您可以使用 Cloud Logging 查看機密動作記錄項目。
前往 Google Cloud 控制台的「Logs Explorer」頁面。
如有需要,請使用頁面頂端的機構選取器,切換至機構檢視畫面。
使用「查詢」窗格建構查詢:
- 在「所有資源」清單中,選取「sensitiveaction.googleapis.com/Location」。
- 按一下 [套用]。「Query results」(查詢結果) 表格會更新為您選取的記錄。
如要查看記錄,請點選表格列,然後按一下「Expand nested fields」(展開巢狀欄位)。
清除所用資源
測試完成後,請移除專案層級的 SSH 金鑰。
前往 Google Cloud 控制台的「Compute Engine Metadata」(Compute Engine 中繼資料) 頁面。
按一下 [編輯]。
按一下 SSH 金鑰旁的「刪除項目」。
按一下 [儲存]。
後續步驟
- 進一步瞭解如何使用敏感動作服務。
- 閱讀敏感動作服務概念的概略總覽。
- 瞭解如何調查及制定威脅因應計畫。