Como testar o Serviço de ações sensíveis

Acione intencionalmente o detector Persistence: project SSH key added e verifique as descobertas para confirmar se o Serviço de ações sensíveis está funcionando.

Para saber mais sobre o serviço de ações sensíveis, consulte Visão geral do serviço de ações sensíveis.

Antes de começar

Para concluir este guia, é preciso ter um papel de Identity and Access Management (IAM) com as permissões compute.projects.setCommonInstanceMetadata e iam.serviceAccounts.actAs no projeto em que você fará o teste, como o papel de administrador do Compute (roles/compute.admin).

Como testar o Serviço de ações sensíveis

Para testar o Serviço de ações sensíveis, adicione uma chave SSH no nível do projeto, o que pode conceder acesso a todas as instâncias do projeto para a chave SSH.

Esse detector não gera uma descoberta se já houver uma chave SSH definida no projeto. Escolha um projeto que não tenha nenhuma chave SSH no nível do projeto.

Etapa 1: acionar um detector do Serviço de ações sensíveis

Para acionar o detector, você precisa de uma conta de usuário de teste. Você pode criar uma conta de usuário de teste com um endereço de e-mail gmail.com ou usar uma conta de usuário existente na sua organização. Você adiciona a conta de usuário de teste à sua organização e concede permissões excessivas.

Para mais instruções sobre como adicionar a chave SSH no nível do projeto, consulte Adicionar chaves SSH aos metadados do projeto. Para instruções sobre como gerar uma chave SSH, consulte Criar chaves SSH.

  1. Acesse a página Metadados do Compute Engine no console do Google Cloud.

    Acessar a página "Metadados"

  2. Clique na guia Chaves SSH.

  3. Verifique se, no momento, não há chaves SSH definidas no projeto. Se as chaves SSH estiverem definidas, as chaves atuais vão aparecer em uma tabela, e o teste não vai funcionar. Escolha um projeto que não tenha chaves SSH no nível do projeto para o teste.

  4. Clique em Adicionar chave SSH.

  5. Adicione sua chave pública na caixa de texto. Para mais detalhes sobre como gerar uma chave SSH, consulte Criar chaves SSH.

  6. Clique em Save.

Em seguida, verifique se o detector Persistence: project SSH key added tem descobertas escritas.

Etapa 2: como ver a descoberta no Security Command Center

Para analisar as descobertas do Serviço de ações sensíveis no console, siga estas etapas:

Console do Google Cloud

  1. No console do Google Cloud, acesse a página Descobertas do Security Command Center.

    Acesse Descobertas

  2. Selecione a organização ou o projeto do Google Cloud.
  3. Na seção Filtros rápidos, na subseção Nome de exibição da origem, selecione Serviço de ações sensíveis. Os resultados da consulta de descobertas são atualizados para mostrar apenas as descobertas dessa fonte.
  4. Para conferir os detalhes de uma descoberta específica, clique no nome dela em Categoria. O O painel de detalhes da descoberta é aberto e exibe a guia Resumo.
  5. Na guia Resumo, revise os detalhes da descoberta, incluindo informações sobre o que foi detectado, o recurso afetado e, se disponíveis, as etapas que você pode executar para remediar a descoberta.
  6. Opcional: para conferir a definição JSON completa da descoberta, clique em a guia JSON.

Console de operações de segurança

  1. No console de operações de segurança, acesse a página Descobertas.
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
    

    Substitua CUSTOMER_SUBDOMAIN pelo seu identificador específico do cliente.

  2. Na seção Agregações, clique para expandir o Nome de exibição da origem. na subseção.
  3. Selecione Serviço de ações sensíveis. Os resultados da consulta de descobertas são atualizados para mostrar apenas as descobertas dessa fonte.
  4. Para conferir os detalhes de uma descoberta específica, clique no nome dela em Categoria. O painel de detalhes da descoberta é aberto e mostra a guia Resumo.
  5. Na guia Resumo, revise os detalhes da descoberta, incluindo informações sobre o que foi detectado, o recurso afetado e, se disponíveis, as etapas que você pode executar para remediar a descoberta.
  6. Opcional: para conferir a definição JSON completa da descoberta, clique em a guia JSON.

Etapa 3: como visualizar a descoberta no Cloud Logging

Use o Cloud Logging para ver entradas de registro de ações sensíveis.

  1. Acesse o Explorador de registros no console do Google Cloud.

    Acessar o Explorador de registros

  2. Se necessário, mude para a visualização da organização usando o Seletor de organização na parte superior da página.

  3. Clique na guia Criador de consultas.

  4. Na lista suspensa Recurso, selecione sensitiveaction.googleapis.com/Location".

  5. Selecione Executar consulta. A tabela Resultados da consulta é atualizada com os registros selecionados por você.

  6. Para visualizar um registro, clique em uma linha da tabela e, em seguida, clique em Expandir campos aninhados

Limpar

Quando terminar o teste, remova a chave SSH no nível do projeto.

  1. Acesse a página Metadados do Compute Engine no console do Google Cloud.

    Acessar a página "Metadados"

  2. Clique em Editar.

  3. Clique em Excluir item ao lado da chave SSH.

  4. Clique em Save.

A seguir