Prueba del servicio de Acciones sensibles

Verifica que el servicio de Acciones sensibles funcione. Para ello, activa de forma intencional el detector de Persistence: project SSH key added y verifica de los resultados.

Para obtener más información sobre el servicio Sensitive Actions Service, consulta la descripción general del servicio.

Antes de comenzar

Para completar esta guía, debes tener una función de Identity and Access Management (IAM) con los permisos compute.projects.setCommonInstanceMetadata y iam.serviceAccounts.actAs en el proyecto en el que realizarás la prueba, como el rol de administrador de Compute (roles/compute.admin).

Prueba del servicio de Acciones sensibles

Para probar el servicio de Acciones sensibles, debes agregar una clave SSH a nivel del proyecto, que puede otorgar acceso a la clave SSH a todas las instancias del proyecto.

Este detector no genera un resultado si ya hay una clave SSH a nivel del proyecto configurada en el proyecto. Elige un proyecto que aún no tenga ninguna clave SSH a nivel del proyecto.

Paso 1: Activa un detector del servicio de acciones sensibles

Para activar el detector, necesitas una cuenta de usuario de prueba. Puedes crear una cuenta de usuario de prueba con una dirección de correo electrónico de gmail.com o usar una cuenta de usuario existente en tu organización. Agregas la cuenta de usuario de prueba a tu organización y le otorgas permisos excesivos.

Para obtener más instrucciones sobre cómo agregar la clave SSH a nivel del proyecto, consulta Agrega claves SSH a los metadatos del proyecto. Para obtener instrucciones sobre cómo generar una clave SSH, consulta Crea claves SSH.

  1. Ve a la página Metadatos de Compute Engine en la consola de Google Cloud.

    Ir a metadatos

  2. Haz clic en la pestaña Llaves SSH.

  3. Verifica que no haya ninguna clave SSH configurada en el proyecto. Si se configuran las claves SSH, verás las claves existentes en una tabla y la prueba no funcionará. Elige un proyecto que no tenga claves SSH a nivel del proyecto existentes para la prueba.

  4. Haz clic en Agregar clave SSH.

  5. Agrega una clave pública al cuadro de texto. Para obtener más detalles sobre cómo generar una clave SSH, consulta Crea claves SSH.

  6. Haz clic en Guardar.

A continuación, verifica que el detector de Persistence: project SSH key added tenga resultados escritos.

Paso 2: Visualiza el hallazgo en Security Command Center

Para revisar los resultados del servicio de Acciones Sensibles en la consola, sigue estos pasos:

Consola de Google Cloud

  1. En la consola de Google Cloud, ve a la página Resultados de Security Command Center.

    Ir a hallazgos

  2. Selecciona tu organización o proyecto de Google Cloud.
  3. En la sección Filtros rápidos, en la subsección Nombre visible de la fuente, selecciona Sensitive Actions Service. Los resultados de la búsqueda de hallazgos se actualizan para mostrar solo los hallazgos de esta fuente.
  4. Para ver los detalles de un resultado específico, haz clic en el nombre del resultado en la columna Categoría. Se abre el panel de detalles del hallazgo y se muestra la pestaña Resumen.
  5. En la pestaña Resumen, revisa los detalles del hallazgo, incluida la información sobre lo que se detectó, el recurso afectado y, si está disponible, los pasos que puedes seguir para solucionar el problema.
  6. Para ver la definición completa de JSON del resultado, haz clic en la pestaña JSON (opcional).

Consola de operaciones de seguridad

  1. En la consola de Security Operations, ve a la página Resultados. 
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings

    Reemplaza CUSTOMER_SUBDOMAIN por tu identificador específico del cliente.

  2. En la sección Agregaciones, haz clic para expandir la subsección Nombre visible de la fuente.
  3. Selecciona Servicio de Acciones Sensibles. Los resultados de la búsqueda de hallazgos se actualizan para mostrar solo los hallazgos de esta fuente.
  4. Para ver los detalles de un resultado específico, haz clic en el nombre del resultado en la columna Categoría. Se abre el panel de detalles del hallazgo y se muestra la pestaña Resumen.
  5. En la pestaña Resumen, revisa los detalles del hallazgo, incluida la información sobre lo que se detectó, el recurso afectado y, si está disponible, los pasos que puedes seguir para solucionar el problema.
  6. Para ver la definición completa de JSON del resultado, haz clic en la pestaña JSON (opcional).

Paso 3: Visualiza el resultado en Cloud Logging

Puedes ver las entradas de registro de acciones sensibles con Cloud Logging.

  1. Ve al Explorador de registros en la consola de Google Cloud.

    Ir al Explorador de registros

  2. Si es necesario, cambia a la vista de la organización con el selector de organización en la parte superior de la página.

  3. Haz clic en la pestaña Compilador de consultas.

  4. En la lista desplegable Recurso, selecciona sensitiveaction.googleapis.com/Location".

  5. Haga clic en Ejecutar consulta. La tabla Resultados de la consulta se actualiza con los registros que seleccionaste.

  6. Para ver un registro, haz clic en una fila de la tabla y, luego, en Expandir campos anidados.

Limpia

Cuando termines la prueba, quita la clave SSH a nivel del proyecto.

  1. Ve a la página Metadatos de Compute Engine en la consola de Google Cloud.

    Ir a metadatos

  2. Haz clic en Edit.

  3. Haz clic en Borrar elemento junto a la clave SSH.

  4. Haz clic en Guardar.

¿Qué sigue?