Verifica che il servizio Azioni sensibili funzioni attivando intenzionalmente il rilevatorePersistence: project SSH key added
e controllando la presenza di risultati.
Per scoprire di più sul servizio Sensitive Actions Service, consulta la Panoramica di Sensitive Actions Service.
Prima di iniziare
Per completare questa guida, devi disporre di un ruolo Identity and Access Management (IAM) con le autorizzazioni compute.projects.setCommonInstanceMetadata
e iam.serviceAccounts.actAs
nel progetto in cui eseguirai il test, ad esempio il ruolo Amministratore Compute (roles/compute.admin
).
Testare il servizio Azioni sensibili
Per testare il servizio Sensitive Actions, aggiungi una chiave SSH a livello di progetto, che potrebbe concedere l'accesso alla chiave SSH a tutte le istanze del progetto.
Questo rilevatore non genera un risultato se nel progetto è già impostata una chiave SSH a livello di progetto. Scegli un progetto che non abbia già chiavi SSH a livello di progetto.
Passaggio 1: attivazione di un rilevatore di servizi di azioni sensibili
Per attivare il rilevatore, devi disporre di un account utente di test. Puoi creare un account utente di prova con un indirizzo email gmail.com o utilizzare un account utente esistente nella tua organizzazione. Aggiungi l'account utente di test alla tua organizzazione e concedigli autorizzazioni eccessive.
Per ulteriori istruzioni su come aggiungere la chiave SSH a livello di progetto, consulta Aggiungere le chiavi SSH ai metadati del progetto. Per istruzioni su come generare una chiave SSH, consulta Creare chiavi SSH.
Vai alla pagina Metadati di Compute Engine nella console Google Cloud.
Fai clic sulla scheda Chiavi SSH.
Verifica che al momento non siano impostate chiavi SSH nel progetto. Se le chiavi SSH sono impostate, vedrai le chiavi esistenti in una tabella e il test non funzionerà. Scegli un progetto per il test che non abbia chiavi SSH a livello di progetto esistenti.
Fai clic su Aggiungi chiave SSH.
Aggiungi una chiave pubblica nella casella di testo. Per ulteriori dettagli su come generare una chiave SSH, consulta Creare chiavi SSH.
Fai clic su Salva.
A questo punto, verifica che il rilevatore Persistence: project SSH key added
abbia scritto i risultati.
Passaggio 2: visualizzazione del risultato in Security Command Center
Per esaminare i risultati del servizio Azioni sensibili nella console:
Console Google Cloud
- Nella console Google Cloud, vai alla pagina Risultati di Security Command Center.
- Seleziona il tuo progetto o la tua organizzazione Google Cloud.
- Nella sezione Filtri rapidi, nella sottosezione Nome visualizzato dell'origine, seleziona Servizio di azioni sensibili. I risultati della query sui risultati vengono aggiornati in modo da mostrare solo i risultati di questa origine.
- Per visualizzare i dettagli di un determinato riscontro, fai clic sul nome del riscontro nella colonna Categoria. Viene visualizzato il riquadro dei dettagli del risultato e la scheda Riepilogo.
- Nella scheda Riepilogo, esamina i dettagli del risultato, incluse le informazioni su ciò che è stato rilevato, la risorsa interessata e, se disponibili, i passaggi che puoi svolgere per risolvere il problema.
- (Facoltativo) Per visualizzare la definizione JSON completa del rilevamento, fai clic sulla scheda JSON.
Console Security Operations
-
Nella console Security Operations, vai alla pagina Risultati.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
Sostituisci
CUSTOMER_SUBDOMAIN
con l'identificatore specifico del cliente. - Nella sezione Aggregazioni, fai clic per espandere la sottosezione Nome visualizzato della sorgente.
- Seleziona Servizio azioni sensibili. I risultati della query sui risultati vengono aggiornati in modo da mostrare solo i risultati di questa origine.
- Per visualizzare i dettagli di un determinato riscontro, fai clic sul nome del riscontro nella colonna Categoria. Viene visualizzato il riquadro dei dettagli del risultato e la scheda Riepilogo.
- Nella scheda Riepilogo, esamina i dettagli del risultato, incluse le informazioni su ciò che è stato rilevato, la risorsa interessata e, se disponibili, i passaggi che puoi svolgere per risolvere il problema.
- (Facoltativo) Per visualizzare la definizione JSON completa del rilevamento, fai clic sulla scheda JSON.
Passaggio 3: visualizzazione del rilevamento in Cloud Logging
Puoi visualizzare le voci dei log delle azioni sensibili utilizzando Cloud Logging.
Vai a Esplora log nella console Google Cloud.
Se necessario, passa alla visualizzazione dell'organizzazione utilizzando il selettore dell'organizzazione nella parte superiore della pagina.
Fai clic sulla scheda Query Builder.
Nell'elenco a discesa Risorsa, seleziona sensitiveaction.googleapis.com/Location".
Fai clic su Esegui query. La tabella Risultati delle query viene aggiornata con i log selezionati.
Per visualizzare un log, fai clic su una riga della tabella e poi su Espandi campi nidificati.
Esegui la pulizia
Al termine del test, rimuovi la chiave SSH a livello di progetto.
Vai alla pagina Metadati di Compute Engine nella console Google Cloud.
Fai clic su Modifica.
Fai clic su
Elimina elemento accanto alla chiave SSH.Fai clic su Salva.
Passaggi successivi
- Scopri di più sull'utilizzo del Servizio azioni sensibili.
- Leggi una panoramica generale dei concetti del Servizio azioni sensibili.
- Scopri come indagare e sviluppare piani di risposta alle minacce.