Prüfen Sie, ob Event Threat Detection funktioniert, indem Sie absichtlich den IAM-Detektor „Anomalous Grant“ oder den Detektor „Malware: Bad Domain“ auslösen und nach Ergebnissen suchen.
Event Threat Detection ist ein integrierter Dienst, der die Logging-Streams von Cloud Logging und Google Workspace Ihrer Organisation überwacht und Bedrohungen nahezu in Echtzeit erkennt. Weitere Informationen finden Sie unter Event Threat Detection – Übersicht.
Hinweis
Damit Ergebnisse von Event Threat Detection angezeigt werden können, muss der Dienst in den Services-Einstellungen von Security Command Center aktiviert sein.
Je nachdem, welchen Detektor Sie testen möchten, benötigen Sie eine der folgenden Rollen:
- IAM Anomalous Grant: Eine IAM-Rolle (Identity and Access Management) mit der Berechtigung
resourcemanager.projects.setIamPolicy, z. B. die Rolle „Projekt-IAM-Administrator“. - Malware: Bad Domain:Eine IAM-Rolle mit den Berechtigungen
compute.instances.createunddns.policies.create, z. B. die Rolle „Projektbearbeiter“.
Event Threat Detection testen
Wählen Sie eine der folgenden Optionen aus, um Event Threat Detection zu testen:
- IAM Anomalous Grant-Detektor: Lösen Sie diesen Detektor aus, indem Sie einem externen Testnutzerkonto eine vertrauliche Rolle zuweisen.
- Malware: Bad Domain detector (Malware: Detektor für schädliche Domains): Lösen Sie diesen Detektor aus, indem Sie eine Anfrage an eine schädliche Testdomain von einer VM-Instanz aus senden.
Nachdem Sie Ergebnisse ausgelöst haben, können Sie sie ansehen und bereinigen:
- Ergebnis ansehen:Untersuchen Sie das Ergebnis im Security Command Center oder in Cloud Logging.
- Bereinigen:Löschen Sie die Testressourcen, um Sicherheitsanomalien zu vermeiden und Kosten zu senken.
Option A: IAM Anomalous Grant-Detektor
Führen Sie die folgenden Schritte aus, um den IAM Anomalous Grant-Detektor auszulösen:
Testnutzer erstellen
Um den Detektor auszulösen, benötigen Sie einen Testnutzer mit einer E-Mail-Adresse von gmail.com. Sie können ein gmail.com-Konto erstellen und diesem dann Zugriff auf das Projekt gewähren, in dem Sie den Test durchführen möchten. Achten Sie darauf, dass dieses gmail.com-Konto noch keine IAM-Berechtigungen für das Projekt hat, in dem Sie den Test durchführen.
IAM Anomalous Grant-Detektor auslösen
Lösen Sie den IAM Anomalie-Grants-Detektor aus, indem Sie die gmail.com-E-Mail-Adresse zur Rolle „Project Owner“ einladen.
Rufen Sie in der Google Cloud Console die Seite IAM auf.
Klicken Sie auf Zugriff erlauben.
Geben Sie im Feld Neue Hauptkonten die gmail.com-Adresse des Testnutzers ein.
Wählen Sie in der Drop-down-Liste Rolle auswählen die Option Projekt > Inhaber aus.
Klicken Sie auf Speichern.
Option B: „Malware: Bad Domain“-Erkennung
Führen Sie die folgenden Schritte aus, um den Detector „Malware: Bad Domain“ auszulösen:
VM-Instanz erstellen und Cloud DNS-Logs aktivieren
- Erstellen Sie eine VM-Instanz in einem VPC-Netzwerk. Eine Anleitung finden Sie unter VM-Instanz erstellen und starten. Achten Sie darauf, dass das Projekt, das die VM-Instanz enthält, im Umfang von Event Threat Detection enthalten ist. Das bedeutet, dass der Event Threat Detection-Dienst für das Projekt oder die übergeordnete Organisation aktiviert ist.
Um das Logging zu aktivieren, konfigurieren Sie eine DNS-Serverrichtlinie für das VPC-Netzwerk:
Rufen Sie in der Google Cloud Console die Seite Cloud DNS auf.
Wählen Sie den Tab DNS-Serverrichtlinien aus.
Klicken Sie auf Richtlinie erstellen.
Geben Sie im Feld Name einen Namen für die Richtlinie ein.
Wählen Sie unter Logs die Option Ein aus, um das Logging von DNS-Abfragen zu aktivieren.
Wählen Sie unter Netzwerke das VPC-Netzwerk aus, das von Ihrer VM-Instanz verwendet wird.
Klicken Sie auf Erstellen.
Detektor „Malware: Schädliche Domain“ auslösen
Rufen Sie in der Google Cloud Console die Seite VM-Instanzen auf:
Klicken Sie in der Liste der VM-Instanzen in der Zeile der von Ihnen erstellten VM-Instanz auf SSH. Ein Terminalfenster wird auf Ihrer VM-Instanz geöffnet.
Führen Sie dazu diesen Befehl aus:
curl etd-malware-trigger.goog
Ergebnisse anzeigen
Nachdem Sie Ergebnisse mit Option A oder Option B ausgelöst haben, prüfen Sie, ob die Ergebnisse generiert wurden, indem Sie sie im Security Command Center oder in Cloud Logging ansehen.
So rufen Sie die Ergebnisse auf:
Ergebnis in Security Command Center ansehen
So rufen Sie das Event Threat Detection-Ergebnis in Security Command Center auf:
Rufen Sie in der Google Cloud Console die Seite Ergebnisse des Security Command Center auf.
Wählen Sie im Bereich Schnellfilter im Abschnitt Kategorie die Kategorie für die Ergebnisse aus:
- Wählen Sie für Option A die Option Persistenz: Anomale IAM-Gewährung aus (klicken Sie bei Bedarf auf Mehr anzeigen).
- Wählen Sie für Option B Malware: Ungültige Domain aus (klicken Sie bei Bedarf auf Mehr anzeigen).
Wenn Sie die Liste im Bereich Ergebnisse der Ergebnisabfrage sortieren möchten, klicken Sie auf die Spaltenüberschrift Ereigniszeit, damit das neueste Ergebnis zuerst angezeigt wird.
Klicken Sie im Bereich Ergebnisse der Ergebnisabfrage in der Spalte Kategorie auf den Kategorienamen (Persistenz: Anomale IAM-Gewährung oder Malware: Schlechte Domain), um die Details des Ergebnisses aufzurufen. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.
Prüfen Sie die Details des Ergebnisses:
- Prüfen Sie für IAM anomalous grant (Anomalie bei IAM-Zuweisung), ob der Wert in der Zeile Principal email (E-Mail-Adresse des Hauptkontos) Ihre Test-E-Mail-Adresse von gmail.com enthält.
- Wählen Sie für Malware: Ungültige Domain den Tab Quell-Properties aus und prüfen Sie, ob die Zeile Domains
etd-malware-trigger.googenthält.
Wenn kein Ergebnis angezeigt wird, prüfen Sie Ihre Einstellungen für Event Threat Detection.
Ergebnis in Cloud Logging ansehen
Wenn Sie Logging-Ergebnisse in Cloud Logging aktiviert haben, können Sie sich die Ergebnisse dort ansehen. Das Ansehen von Logging-Ergebnissen in Cloud Logging ist nur möglich, wenn Sie Security Command Center Premium auf Organisationsebene aktivieren.
Rufen Sie in der Google Cloud Console den Log-Explorer auf.
Wählen Sie das Google Cloud -Projekt aus, in dem Sie Ihre Event Threat Detection-Logs speichern.
Verwenden Sie den Bereich Abfrage, um Ergebnisse mit einer der folgenden Methoden abzufragen:
- Gehen Sie in der Liste Alle Ressourcen so vor:
- Wählen Sie Threat Detector aus, um eine Liste aller Detektoren aufzurufen.
- Wählen Sie unter DETECTOR_NAME die Option iam_anomalous_grant (für Option A) oder bad_domain (für Option B) aus.
- Klicken Sie auf Übernehmen.
Geben Sie im Abfrageeditor die folgende Abfrage ein und klicken Sie auf Abfrage ausführen:
resource.type="threat_detector"
- Gehen Sie in der Liste Alle Ressourcen so vor:
Zum Aufrufen des Logs klicken Sie auf eine Tabellenzeile und dann auf Verschachtelte Felder erweitern.
Wenn Sie kein Ergebnis sehen, prüfen Sie Ihre Einstellungen für Event Threat Detection.
Bereinigen
Wenn Sie mit dem Testen fertig sind, bereinigen Sie die Ressourcen, um Sicherheitsanomalien zu vermeiden und unerwünschte Kosten zu vermeiden.
So bereinigen Sie Ressourcen:
Ressourcen für den IAM Anomalous Grant-Detektor bereinigen
Rufen Sie in der Google Cloud Console die Seite IAM auf.
Klicken Sie in der Zeile für die Gmail-Adresse des Testnutzers auf Hauptkonto bearbeiten.
Klicken Sie im angezeigten Bereich neben der Rolle Inhaber auf Rolle löschen.
Klicken Sie auf Speichern.
Ressourcen für den Detector „Malware: Bad Domain“ bereinigen
- Löschen Sie die von Ihnen erstellte VM-Instanz. Eine Anleitung finden Sie unter VM-Instanz löschen.
- Heben Sie die Zuordnung der von Ihnen erstellten DNS-Serverrichtlinie auf oder löschen Sie sie. Eine Anleitung finden Sie unter DNS-Richtlinie löschen.
Nächste Schritte
- Weitere Informationen zur Verwendung von Event Threat Detection
- Lesen Sie eine allgemeine Übersicht über Event Threat Detection-Konzepte.
- Weitere Informationen zum Untersuchen und Entwickeln von Reaktionsplänen für Bedrohungen.