Verifica que el servicio de acciones sensibles esté funcionando mediante la activación del detector Persistence: project SSH key added de forma intencional y la búsqueda de resultados.
Para obtener más información sobre el servicio del servicio de acciones sensibles, consulta la descripción general del servicio de acciones sensibles.
Antes de comenzar
Para completar esta guía, debes tener una función de Identity and Access Management (IAM) con los permisos compute.projects.setCommonInstanceMetadata y iam.serviceAccounts.actAs en el proyecto en el que realizarás la prueba, como la función de administrador de Compute (roles/compute.admin).
Prueba el servicio de acciones sensibles
Para probar el servicio de acciones sensibles, agrega una clave SSH a nivel del proyecto, que puede otorgar acceso a la clave SSH a todas las instancias del proyecto.
Este detector no genera un resultado si ya hay una clave SSH a nivel de proyecto configurada en el proyecto. Elige un proyecto que no tenga ninguna clave SSH a nivel de proyecto.
Paso 1: Activa un detector de servicios de acciones sensibles
Para activar el detector, necesitas una cuenta de usuario de prueba. Puedes crear una cuenta de usuario de prueba con una dirección de correo electrónico de gmail.com o usar una cuenta de usuario existente en tu organización. Agregas la cuenta de usuario de prueba a tu organización y le otorgas permisos excesivos.
Para obtener más instrucciones sobre cómo agregar la Llave SSH a nivel de proyecto, consulta Agrega claves SSH a los metadatos del proyecto. Para obtener instrucciones sobre cómo generar una clave SSH, consulta Crea claves SSH.
Ve a la página Metadatos de Compute Engine en la consola de Google Cloud.
Haz clic en la pestaña Claves SSH.
Verifica que, actualmente, no haya ninguna clave SSH configurada en el proyecto. Si las claves SSH están configuradas, verás las claves existentes en una tabla y la prueba no funcionará. Elige un proyecto que no tenga ninguna clave SSH a nivel de proyecto existente para la prueba.
Haz clic en Agregar clave SSH.
Agrega una clave pública en el cuadro de texto. Para obtener más detalles sobre cómo generar una clave SSH, consulta Crea claves SSH.
Haz clic en Guardar.
A continuación, verifica que el detector Persistence: project SSH key added haya escrito resultados.
Paso 2: Visualiza el resultado en Security Command Center
Para revisar los resultados del servicio de acciones sensibles en la consola de Google Cloud, sigue estos pasos:
Ve a la página Resultados en la consola de Google Cloud.
En Filtros rápidos, desplázate hacia abajo hasta Nombre visible de la fuente y haz clic en Servicio de acciones sensibles. La actualización de Resultados de la consulta de resultados para mostrar solo los resultados que produjo el Servicio de acciones sensibles.
Para ver los detalles de un resultado específico, haz clic en su nombre en Categoría. Se abrirá el panel de detalles del hallazgo.
- Para ver un resumen de los detalles del resultado, que es la vista predeterminada, debajo del nombre del resultado, haz clic en Resumen.
- Para ver los detalles completos del resultado, en su nombre, haz clic en JSON.
Paso 3: Visualiza el resultado en Cloud Logging
Puedes ver entradas de registro de acciones sensibles con Cloud Logging.
Ve al Explorador de registros en la consola de Google Cloud.
Si es necesario, cambia a la vista de organización con el selector de organización en la parte superior de la página.
Haz clic en la pestaña Compilador de consultas.
En la lista desplegable Recurso, selecciona sensitiveaction.googleapis.com/Location".
Haz clic en Ejecutar consulta. La tabla Resultados de la consulta se actualiza con los registros que seleccionaste.
Para ver un registro, haz clic en una fila de la tabla y, luego, en Expandir campos anidados.
Limpia
Cuando termines la prueba, quita la clave SSH a nivel de proyecto.
Ve a la página Metadatos de Compute Engine en la consola de Google Cloud.
Haz clic en Editar.
Haz clic en Borrar elemento junto a la clave SSH.
Haz clic en Guardar.
¿Qué sigue?
- Obtén más información para usar el Servicio de acciones sensibles.
- Lee una descripción general de alto nivel de los conceptos del servicio de acciones sensibles.
- Obtén información sobre cómo investigar y desarrollar planes de respuesta para las amenazas.