Tester le service des actions sensibles

Vérifiez que le service des actions sensibles fonctionne en déclenchant intentionnellement Persistence: project SSH key added et en vérifiant les résultats.

Pour en savoir plus sur le service Sensitive Actions, consultez Présentation du service Actions sensibles

Avant de commencer

Pour suivre ce guide, vous devez disposer d'un rôle IAM (Identity and Access Management) disposant des autorisations compute.projects.setCommonInstanceMetadata et iam.serviceAccounts.actAs dans le projet dans lequel vous effectuerez le test, tel que le rôle Administrateur Compute (roles/compute.admin).

Tester le service des actions sensibles

Pour tester le service Sensitive Actions, vous ajoutez une clé SSH au niveau du projet, qui peut accorder l'accès SSH une clé d'accès à toutes les instances du projet.

Ce détecteur ne génère pas de résultat s'il existe déjà une clé SSH au niveau du projet sur le projet. Choisissez un projet qui ne dispose pas encore à n'importe quelle clé SSH au niveau du projet.

Étape 1: Déclencher un détecteur du service d'actions sensibles

Pour déclencher le détecteur, vous devez disposer d'un compte utilisateur test. Vous pouvez créer un compte utilisateur de test avec une adresse e-mail gmail.com ou utiliser un compte utilisateur existant dans votre organisation. Vous ajoutez le compte utilisateur test et lui accorder des autorisations excessives.

Pour savoir comment ajouter la clé SSH au niveau du projet, consultez Ajoutez des clés SSH aux métadonnées du projet. Pour savoir comment générer une clé SSH, consultez la section Créer des clés SSH.

  1. Accédez à la page Métadonnées Compute Engine. de la console Google Cloud.

    Accéder à la page "Métadonnées"

  2. Cliquez sur l'onglet Clés SSH.

  3. Vérifiez qu'aucune clé SSH n'est actuellement définie sur le projet. Si des clés SSH sont définies, les clés existantes s'affichent dans une table, et le test ne fonctionne pas. Choisissez un projet pour lequel aucune clé SSH au niveau du projet n'existe le test.

  4. Cliquez sur Ajouter une clé SSH.

  5. Ajoutez une clé publique dans la zone de texte. Pour en savoir plus sur la génération d'une clé SSH, consultez la section Créer des clés SSH.

  6. Cliquez sur Enregistrer.

Ensuite, vérifiez que le détecteur Persistence: project SSH key added a des résultats écrits.

Étape 2 : Afficher le résultat dans Security Command Center

Pour examiner les résultats du service Actions sensibles dans la console, procédez comme suit :

console Google Cloud

  1. Dans la console Google Cloud, accédez à la page Résultats de Security Command Center.

    Accéder

  2. Sélectionnez votre projet ou votre organisation Google Cloud.
  3. Dans la section Filtres rapides, dans la sous-section Nom à afficher pour la source, sélectionnez Service d'actions sensibles. Les résultats de la requête sont mis à jour pour n'afficher que les les résultats de cette source.
  4. Pour afficher les détails d'un résultat spécifique, cliquez sur le nom du résultat sous Catégorie. La le panneau des détails du résultat s'ouvre et affiche l'onglet Résumé.
  5. Dans l'onglet Récapitulatif, examinez les détails de la non-conformité, y compris les informations sur ce qui a été détecté, la ressource concernée et, le cas échéant, les mesures que vous pouvez prendre pour y remédier.
  6. Facultatif : Pour afficher la définition JSON complète du résultat, cliquez sur l'onglet JSON.

Console Opérations de sécurité

  1. Dans la console Security Operations, accédez à la page Résultats. 
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings

    Remplacez CUSTOMER_SUBDOMAIN par votre identifiant spécifique au client.

  2. Dans la section Agrégations, cliquez sur Nom à afficher pour la source pour le développer. dans cette sous-section.
  3. Sélectionnez Service d'actions sensibles. Les résultats de la requête de résultats sont mis à jour pour n'afficher que les résultats de cette source.
  4. Pour afficher les détails d'un résultat spécifique, cliquez sur le nom du résultat sous Catégorie. La le panneau des détails du résultat s'ouvre et affiche l'onglet Résumé.
  5. Dans l'onglet Récapitulatif, examinez les détails de la non-conformité, y compris les informations sur ce qui a été détecté, la ressource concernée et, le cas échéant, les mesures que vous pouvez prendre pour y remédier.
  6. Facultatif : Pour afficher la définition JSON complète du résultat, cliquez sur l'onglet JSON.

Étape 3 : Afficher les résultats dans Cloud Logging

Vous pouvez afficher les entrées de journal d'actions sensibles à l'aide de Cloud Logging.

  1. Accédez à l'explorateur de journaux dans la console Google Cloud.

    Accéder à l'explorateur de journaux

  2. Si nécessaire, passez à la vue "Organisation" à l'aide du sélecteur d'organisation en haut de la page.

  3. Cliquez sur l'onglet Générateur de requêtes.

  4. Dans la liste déroulante Ressource, sélectionnez sensitiveaction.googleapis.com/Location".

  5. Cliquez sur Exécuter la requête (Run Query). La table Résultats de la requête est mise à jour avec les journaux que vous avez sélectionnés.

  6. Pour afficher un journal, cliquez sur une ligne du tableau, puis sur Développer les champs imbriqués.

Effectuer un nettoyage

Une fois les tests terminés, supprimez la clé SSH au niveau du projet.

  1. Accédez à la page Métadonnées Compute Engine dans la console Google Cloud.

    Accéder à la page "Métadonnées"

  2. Cliquez sur Modifier.

  3. Cliquez sur Supprimer l'élément à côté de la clé SSH.

  4. Cliquez sur Enregistrer.

Étape suivante