Acione intencionalmente o detector Persistence: project SSH key added e verifique as
descobertas para confirmar se o Serviço de ações sensíveis está funcionando.
Para saber mais sobre o Serviço de ações sensíveis, consulte Visão geral do Serviço de ações sensíveis.
Antes de começar
Para concluir este guia, é preciso ter um papel de Identity and Access Management (IAM) com
as permissões compute.projects.setCommonInstanceMetadata e iam.serviceAccounts.actAs
no projeto em que você fará o teste, como o papel de administrador do Compute (roles/compute.admin).
Como testar o Serviço de ações sensíveis
Para testar o Serviço de ações sensíveis, adicione uma chave SSH no nível do projeto, o que pode conceder acesso a todas as instâncias do projeto para a chave SSH.
Esse detector não gera uma descoberta se já houver uma chave SSH no nível do projeto definida. Escolha um projeto que ainda não tenha chaves SSH no nível do projeto.
Etapa 1: acionar um detector do Serviço de ações sensíveis
Para acionar o detector, você precisa de uma conta de usuário de teste. Você pode criar uma conta de usuário de teste com um endereço de e-mail gmail.com ou usar uma conta de usuário existente na sua organização. Você adiciona a conta de usuário de teste à sua organização e concede permissões excessivas.
Para mais instruções sobre como adicionar a chave SSH no nível do projeto, consulte Adicionar chaves SSH aos metadados do projeto. Para instruções sobre como gerar uma chave SSH, consulte Criar chaves SSH.
Acesse a página Metadados do Compute Engine no console do Google Cloud.
Clique na guia Chaves SSH.
Verifique se, no momento, não há chaves SSH definidas no projeto. Se as chaves SSH estiverem definidas, as chaves atuais vão aparecer em uma tabela, e o teste não vai funcionar. Escolha um projeto que não tenha chaves SSH no nível do projeto para o teste.
Clique em Adicionar chave SSH.
Adicione sua chave pública na caixa de texto. Para mais detalhes sobre como gerar uma chave SSH, consulte Criar chaves SSH.
Clique em Salvar.
Em seguida, verifique se o detector Persistence: project SSH key added tem descobertas escritas.
Etapa 2: como ver a descoberta no Security Command Center
Para analisar as descobertas do serviço de ações confidenciais no console do Google Cloud, siga estas etapas:
Acesse a página Descobertas no console do Google Cloud.
Em Filtros rápidos, role para baixo até Nome de exibição da origem e clique em Serviço de ações sensíveis. A atualização de Resultados da consulta da descoberta para mostrar apenas as descobertas que foram produzidas pelo Serviço de ações sensíveis.
Para ver detalhes sobre uma descoberta específica, clique no nome da descoberta em Categoria. O painel de detalhes da descoberta será aberto.
- Para acessar um resumo dos detalhes da descoberta, que é a visualização padrão, abaixo do nome da descoberta, clique em Resumo.
- Para ver todos os detalhes da descoberta, clique em JSON abaixo do nome dela.
Etapa 3: como visualizar a descoberta no Cloud Logging
Use o Cloud Logging para ver entradas de registro de ações sensíveis.
Acesse o Explorador de registros no console do Google Cloud.
Se necessário, mude para a visualização da organização usando o Seletor de organização na parte superior da página.
Clique na guia Criador de consultas.
Na lista suspensa Recurso, selecione sensitiveaction.googleapis.com/Location".
Selecione Executar consulta. A tabela Resultados da consulta é atualizada com os registros selecionados por você.
Para visualizar um registro, clique em uma linha da tabela e, em seguida, clique em Expandir campos aninhados
Limpar
Quando terminar o teste, remova a chave SSH no nível do projeto.
Acesse a página Metadados do Compute Engine no console do Google Cloud.
Clique em Editar.
Clique em Excluir item ao lado da chave SSH.
Clique em Salvar.
A seguir
- Saiba mais sobre como usar o Serviço de ações sensíveis.
- Leia uma visão geral de alto nível dos conceitos do Serviço de ações sensíveis.
- Saiba como investigar e desenvolver planos de resposta para ameaças.