Sensitive Actions Service testen

Prüfen Sie, ob der Dienst für sensible Aktionen funktioniert, indem Sie absichtlich den Detektor Persistence: project SSH key added auslösen und nach Ergebnissen suchen.

Weitere Informationen zum Dienst „Sensitive Actions Service“ finden Sie unter Sensitive Actions Service – Übersicht.

Hinweis

Für diesen Leitfaden benötigen Sie eine IAM-Rolle (Identity and Access Management) mit compute.projects.setCommonInstanceMetadata und iam.serviceAccounts.actAs Berechtigungen in dem Projekt, in dem Sie den Test durchführen, wie z. B. Administratorrolle (roles/compute.admin)

Dienst zum Testen sensibler Aktionen

Wenn Sie den Dienst für sensible Aktionen testen möchten, fügen Sie einen SSH-Schlüssel auf Projektebene hinzu, der allen Instanzen im Projekt SSH-Schlüsselzugriff gewähren kann.

Dieser Detektor generiert kein Ergebnis, wenn bereits ein SSH-Schlüssel auf Projektebene festgelegt ist für das Projekt. Wählen Sie ein Projekt aus, für das noch keine SSH-Schlüssel auf Projektebene vorhanden sind.

Schritt 1: Dienst-Detektor für sensible Aktionen auslösen

Um den Detektor auszulösen, benötigen Sie ein Testnutzerkonto. Sie können ein Testnutzerkonto mit einer gmail.com-E-Mail-Adresse oder ein bestehendes Nutzerkonto Konto in Ihrer Organisation. Sie fügen das Testnutzerkonto Ihrer Organisation hinzu und gewähren ihm zu viele Berechtigungen.

Weitere Informationen zum Hinzufügen des SSH-Schlüssels auf Projektebene finden Sie unter SSH-Schlüssel zu Projektmetadaten hinzufügen. Eine Anleitung zum Generieren eines SSH-Schlüssels finden Sie unter SSH-Schlüssel erstellen.

  1. Rufen Sie die Compute Engine-Metadaten auf. in der Google Cloud Console.

    Zur Seite "Metadaten"

  2. Klicken Sie auf den Tab SSH-Schlüssel.

  3. Prüfen Sie, ob für das Projekt derzeit keine SSH-Schlüssel festgelegt sind. Wenn SSH-Schlüssel festgelegt sind, werden die vorhandenen Schlüssel in einer Tabelle angezeigt und der Test funktioniert nicht. Wählen Sie ein Projekt aus, für das noch keine SSH-Schlüssel auf Projektebene vorhanden sind für den Test.

  4. Klicken Sie auf SSH-Schlüssel hinzufügen.

  5. Geben Sie einen öffentlichen Schlüssel in das Textfeld ein. Weitere Informationen zum Generieren eines SSH-Schlüssels finden Sie unter SSH-Schlüssel erstellen.

  6. Klicken Sie auf Speichern.

Prüfen Sie als Nächstes, ob der Persistence: project SSH key added-Detektor Ergebnisse geschrieben hat.

Schritt 2: Ergebnis in Security Command Center ansehen

So rufen Sie die Ergebnisse des Dienstes für sensible Aktionen in der Console auf:

Google Cloud Console

  1. Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.

    Zu Ergebnissen

  2. Wählen Sie Ihr Google Cloud-Projekt oder Ihre Organisation aus.
  3. Wählen Sie im Abschnitt Schnellfilter im Unterabschnitt Anzeigename der Quelle die Option Dienst für sensible Aktionen Die Ergebnisse der Ergebnisabfrage werden so aktualisiert, dass nur die Ergebnisse aus dieser Quelle.
  4. Wenn Sie sich die Details eines bestimmten Ergebnisses ansehen möchten, klicken Sie unter Kategorie auf den Namen des Ergebnisses. Die Der Detailbereich für das Ergebnis wird geöffnet und zeigt den Tab Zusammenfassung an.
  5. Sehen Sie sich auf dem Tab Zusammenfassung die Details des Ergebnisses an, einschließlich Informationen zu was erkannt wurde, die betroffene Ressource und – falls verfügbar – Schritte, die Sie um das Ergebnis zu beheben.
  6. Optional: Klicken Sie auf den Tab JSON, um die vollständige JSON-Definition des Ergebnisses aufzurufen.

Security Operations Console

  1. Rufen Sie in der Security Operations-Konsole die Seite Ergebnisse auf. 
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings

    Ersetzen Sie CUSTOMER_SUBDOMAIN durch Ihre kundenspezifische Kennung.

  2. Klicken Sie im Abschnitt Aggregationen, um den Anzeigenamen der Quelle zu maximieren. Unterabschnitt.
  3. Wählen Sie Sensitive Actions Service aus. Die Ergebnisse der Ergebnisabfrage werden aktualisiert, sodass nur die Ergebnisse aus dieser Quelle angezeigt werden.
  4. Klicken Sie unter Kategorie auf den Namen des Ergebnisses, um Details zu einem bestimmten Ergebnis aufzurufen. Die Der Detailbereich für das Ergebnis wird geöffnet und zeigt den Tab Zusammenfassung an.
  5. Sehen Sie sich auf dem Tab Zusammenfassung die Details des Ergebnisses an, einschließlich Informationen zu was erkannt wurde, die betroffene Ressource und – falls verfügbar – Schritte, die Sie um das Ergebnis zu beheben.
  6. Optional: Um die vollständige JSON-Definition des Ergebnisses anzusehen, klicken Sie auf den Tab JSON.

Schritt 3: Ergebnis in Cloud Logging anzeigen

Sie können sich vertrauliche Aktionslogeinträge mithilfe von Cloud Logging ansehen.

  1. Rufen Sie in der Google Cloud Console den Log-Explorer auf.

    Zum Log-Explorer

  2. Wechseln Sie bei Bedarf mithilfe der Auswahl für die Organisation oben auf der Seite zur Organisationsansicht.

  3. Klicken Sie auf den Tab Query Builder.

  4. Wählen Sie in der Drop-down-Liste Ressource die Option sensitiveaction.googleapis.com/Location aus.

  5. Klicken Sie auf Abfrage ausführen. Die Tabelle Abfrageergebnisse wird mit den ausgewählten Logs aktualisiert.

  6. Zum Aufrufen eines Logs klicken Sie auf eine Tabellenzeile und dann auf Verschachtelte Felder erweitern.

Bereinigen

Entfernen Sie den SSH-Schlüssel auf Projektebene, wenn die Tests abgeschlossen sind.

  1. Rufen Sie in der Google Cloud Console die Seite Compute Engine-Metadaten auf.

    Zur Seite "Metadaten"

  2. Klicken Sie auf Bearbeiten.

  3. Klicken Sie neben dem SSH-Schlüssel auf Element löschen.

  4. Klicken Sie auf Speichern.

Nächste Schritte