Prueba del servicio de Acciones sensibles

Verifica que el Servicio de acciones sensibles funcione activando intencionalmente el detector Persistence: project SSH key added y comprobando los resultados.

Para obtener más información sobre el servicio de Sensitive Actions Service, consulta la descripción general del servicio de Sensitive Actions Service.

Antes de comenzar

Para completar esta guía, debes tener un rol de Identity and Access Management (IAM) con los permisos compute.projects.setCommonInstanceMetadata y iam.serviceAccounts.actAs en el proyecto en el que realizarás la prueba, como el rol de administrador de Compute (roles/compute.admin).

Cómo probar el servicio de Acciones sensibles

Para probar el Servicio de acciones sensibles, agrega una clave SSH a nivel del proyecto, que puede otorgar acceso a la clave SSH a todas las instancias del proyecto.

Este detector no genera un resultado si ya hay una clave SSH a nivel del proyecto establecida en el proyecto. Elige un proyecto que aún no tenga ninguna clave SSH a nivel del proyecto.

Paso 1: Activa un detector del Servicio de acciones sensibles

Para activar el detector, necesitarás una cuenta de usuario de prueba. Puedes crear una cuenta de usuario de prueba con una dirección de correo electrónico de gmail.com o usar una cuenta de usuario existente en tu organización. Agregas la cuenta de usuario de prueba a tu organización y le otorgas permisos excesivos.

Para obtener más instrucciones sobre cómo agregar la clave SSH a nivel del proyecto, consulta Agrega claves SSH a los metadatos del proyecto. Para obtener instrucciones sobre cómo generar una clave SSH, consulta Crea claves SSH.

1. Ve a la página Metadatos de Compute Engine en la consola de Google Cloud .

   Ir a metadatos

2. Haz clic en la pestaña Llaves SSH.

3. Verifica que no haya claves SSH establecidas en el proyecto. Si se configuran las claves SSH, verás las claves existentes en una tabla y la prueba no funcionará. Elige un proyecto que no tenga claves SSH existentes a nivel del proyecto para la prueba.

4. Haz clic en Add SSH Key.

5. Agrega una clave pública al cuadro de texto. Para obtener más detalles sobre cómo generar una clave SSH, consulta Crea claves SSH.

6. Haz clic en Guardar.

A continuación, verifica que el detector Persistence: project SSH key added haya escrito resultados.

Paso 2: Visualiza el hallazgo en Security Command Center

Para revisar los resultados del Servicio de acciones sensibles en la consola, sigue estos pasos:

1. En la consola de Google Cloud , ve a la página Resultados de Security Command Center.

   Ir a hallazgos

2. Selecciona tu Google Cloud organización o proyecto.
3. En la sección Filtros rápidos, en la subsección Nombre visible de la fuente, selecciona Sensitive Actions Service. Los resultados de la búsqueda de hallazgos se actualizan para mostrar solo los hallazgos de esta fuente.
4. Para ver los detalles de un resultado específico, haz clic en el nombre del resultado en la columna Categoría. Se abre el panel de detalles para el hallazgo y se muestra la pestaña Resumen.
5. En la pestaña Resumen, revisa los detalles del hallazgo, incluida la información sobre lo que se detectó, el recurso afectado y, si está disponible, los pasos que puedes seguir para corregir el hallazgo.
6. Opcional: Para ver la definición completa de JSON del resultado, haz clic en la pestaña JSON.

Paso 3: Visualiza el resultado en Cloud Logging

Puedes ver las entradas de registro de acciones sensibles con Cloud Logging.

1. Ve al Explorador de registros en la consola de Google Cloud .

   Ir al Explorador de registros

2. Si es necesario, cambia a la vista de organización con el selector de organización en la parte superior de la página.

3. Usa el panel Query para crear tu consulta:

   1. En la lista Todos los recursos, selecciona sensitiveaction.googleapis.com/Location.
   2. Haz clic en Aplicar. La tabla Resultados de la consulta se actualiza con los registros que seleccionaste.

4. Para ver un registro, haz clic en una fila de la tabla y, luego, en Expandir campos anidados.

Haz una limpieza

Cuando termines la prueba, quita la clave SSH a nivel del proyecto.

1. Ve a la página Metadatos de Compute Engine en la consola de Google Cloud .

   Ir a metadatos

2. Haz clic en Editar.

3. Haz clic en deleteBorrar elemento junto a la clave SSH.

4. Haz clic en Guardar.

¿Qué sigue?

• Obtén más información para usar el Servicio de acciones sensibles.
• Lee una descripción general de alto nivel de los conceptos del Servicio de acciones sensibles.
• Obtén información para investigar y desarrollar planes de respuesta para las amenazas.