Tester Event Threat Detection

Vérifiez que Event Threat Detection fonctionne en déclenchant intentionnellement le détecteur d'octroi anormal d'autorisations IAM ou le détecteur de logiciel malveillant (domaine incorrect), et en vérifiant les résultats.

Event Threat Detection est un service intégré qui surveille les flux de journalisation Cloud Logging et Google Workspace de votre organisation, et détecte les menaces en quasi-temps réel. Pour en savoir plus, consultez la présentation d'Event Threat Detection.

Avant de commencer

Pour afficher les résultats d'Event Threat Detection, le service doit être activé dans les paramètres Services de Security Command Center.

En fonction du détecteur que vous souhaitez tester, vous devez disposer de l'un des rôles suivants :

  • IAM Anomalous Grant : rôle IAM (Identity and Access Management) disposant de l'autorisation resourcemanager.projects.setIamPolicy, tel que le rôle Administrateur IAM du projet.
  • Logiciel malveillant : domaine incorrect : un rôle IAM disposant des autorisations compute.instances.create et dns.policies.create, comme le rôle Éditeur de projet.

Tester Event Threat Detection

Pour tester Event Threat Detection, choisissez l'une des options suivantes pour déclencher le service :

  • Détecteur d'octroi anormal d'autorisations IAM : déclenchez ce détecteur en attribuant un rôle sensible à un compte utilisateur de test externe.
  • Détecteur "Logiciel malveillant : domaine malveillant" : déclenchez ce détecteur en exécutant une requête vers un domaine malveillant de test à partir d'une instance de VM.

Une fois les résultats déclenchés, consultez-les et effectuez le nettoyage :

  • Afficher le résultat : examinez le résultat dans Security Command Center ou dans Cloud Logging.
  • Nettoyage : supprimez les ressources de test pour éviter de laisser des anomalies de sécurité ou d'accumuler des coûts.

Option A : Détecteur d'octroi anormal d'autorisations IAM

Pour déclencher le détecteur d'octroi anormal d'autorisations IAM, procédez comme suit :

  1. Créer un utilisateur test
  2. Déclencher le détecteur d'octroi anormal d'autorisations IAM

Créer un utilisateur test

Pour déclencher le détecteur, vous avez besoin d'un utilisateur test disposant d'une adresse e-mail gmail.com. Vous pouvez créer un compte gmail.com, puis lui accorder l'accès au projet dans lequel vous souhaitez effectuer le test. Assurez-vous que ce compte gmail.com ne dispose pas déjà d'autorisations IAM dans le projet dans lequel vous effectuez le test.

Déclencher le détecteur d'octroi anormal d'autorisations IAM

Déclenchez le détecteur d'octroi anormal d'autorisations IAM en invitant l'adresse e-mail gmail.com au rôle de propriétaire du projet.

  1. Dans la console Google Cloud , accédez à la page IAM.

    Accéder à IAM

  2. Cliquez sur Accorder l'accès.

  3. Dans le champ Nouveaux comptes principaux, saisissez l'adresse gmail.com de l'utilisateur test.

  4. Dans la liste déroulante Sélectionner un rôle, sélectionnez Projet > Propriétaire.

  5. Cliquez sur Enregistrer.

Option B : Détecteur de domaine malveillant

Pour déclencher le détecteur "Logiciel malveillant : domaine incorrect", procédez comme suit :

  1. Créer une instance de VM et activer les journaux Cloud DNS
  2. Déclencher le détecteur "Logiciels malveillants : domaine incorrect"

Créer une instance de VM et activer les journaux Cloud DNS

  1. Créez une instance de VM sur un réseau VPC. Pour obtenir des instructions, consultez Créer et démarrer une instance de VM. Assurez-vous que le projet contenant l'instance de VM est inclus dans le champ d'application d'Event Threat Detection. Autrement dit, le service Event Threat Detection est activé pour le projet ou son organisation parente.
  2. Pour activer la journalisation, configurez une règle de serveur DNS pour le réseau VPC :

    1. Dans la console Google Cloud , accédez à la page Cloud DNS.

      Accéder à Cloud DNS

    2. Sélectionnez l'onglet Règles de serveur DNS.

    3. Cliquez sur Créer une règle.

    4. Dans le champ Nom, saisissez un nom pour la règle.

    5. Sous Journaux, sélectionnez Activé pour activer la journalisation des requêtes DNS.

    6. Sous Réseaux, sélectionnez le réseau VPC utilisé par votre instance de VM.

    7. Cliquez sur Créer.

Déclencher le détecteur "Logiciel malveillant : domaine incorrect"

  1. Dans la console Google Cloud , accédez à la page Instances de VM.

    Accéder à la page Instances de VM

  2. Dans la liste des instances de machines virtuelles, cliquez sur SSH sur la ligne de l'instance de VM que vous avez créée. Une fenêtre de terminal s'ouvre sur votre instance de VM.

  3. Exécutez la commande suivante :

    curl etd-malware-trigger.goog
    

Afficher les résultats

Après avoir déclenché des résultats à l'aide de l'option A ou de l'option B, vérifiez qu'ils sont générés en les affichant dans Security Command Center ou Cloud Logging.

Pour afficher les résultats, suivez les étapes correspondant à l'emplacement de votre choix :

Afficher le résultat dans Security Command Center

Pour afficher le résultat Event Threat Detection dans Security Command Center :

  1. Accédez à la page Résultats de Security Command Center dans la console Google Cloud .

    Accéder

  2. Dans la section Catégorie du panneau Filtres rapides, sélectionnez la catégorie de résultat :

    • Pour l'option A, sélectionnez Persistance : octroi anormal d'autorisations IAM (cliquez sur Afficher plus si nécessaire).
    • Pour l'option B, sélectionnez Logiciel malveillant : domaine incorrect (cliquez sur Afficher plus si nécessaire).
  3. Pour trier la liste dans le panneau Résultats de la requête, cliquez sur l'en-tête de colonne Heure de l'événement afin que le résultat le plus récent s'affiche en premier.

  4. Dans le panneau Résultats de la requête, affichez les détails du résultat en cliquant sur le nom de la catégorie (Persistance : octroi anormal d'autorisations IAM ou Logiciel malveillant : domaine incorrect) dans la colonne Catégorie. Le panneau de détails du résultat s'ouvre et affiche l'onglet Résumé.

  5. Vérifiez les détails du résultat :

    • Pour IAM anomalous grant (Octroi anormal d'autorisations IAM), vérifiez que la valeur de la ligne Adresse e-mail de l'utilisateur principal contient votre adresse e-mail de test gmail.com.
    • Pour Domaine malveillant, sélectionnez l'onglet Propriétés sources et vérifiez que la ligne Domaines contient etd-malware-trigger.goog.

Si aucun résultat ne s'affiche, vérifiez vos paramètres Event Threat Detection.

Afficher le résultat dans Cloud Logging

Si vous avez activé la journalisation des résultats dans Cloud Logging, vous pouvez y accéder. L'affichage des résultats de journalisation dans Cloud Logging n'est disponible que si vous activez le niveau Premium de Security Command Center au niveau de l'organisation.

  1. Dans la console Google Cloud , accédez à l'explorateur de journaux.

    Accéder à l'explorateur de journaux

  2. Sélectionnez le projet Google Cloud dans lequel vous stockez vos journaux Event Threat Detection.

  3. Utilisez le volet Requête pour interroger les résultats à l'aide de l'une des méthodes suivantes :

    • Dans la liste Toutes les ressources, procédez comme suit :
      1. Sélectionnez Détecteur de menaces pour afficher la liste de tous les détecteurs.
      2. Sous DETECTOR_NAME, sélectionnez iam_anomalous_grant (pour l'option A) ou bad_domain (pour l'option B).
      3. Cliquez sur Appliquer.
    • Dans l'éditeur de requête, saisissez la requête suivante, puis cliquez sur Exécuter la requête :

      resource.type="threat_detector"
      
  4. Pour afficher le journal, cliquez sur une ligne du tableau, puis sur Développer les champs imbriqués.

Si aucun résultat ne s'affiche, vérifiez vos paramètres Event Threat Detection.

Effectuer un nettoyage

Lorsque vous avez terminé les tests, nettoyez les ressources pour éviter de laisser des anomalies de sécurité ou d'engendrer des frais inutiles.

Pour nettoyer les ressources, suivez les étapes de l'option que vous avez testée :

Nettoyer les ressources du détecteur d'octroi anormal d'autorisations IAM

  1. Dans la console Google Cloud , accédez à la page IAM.

    Accéder à IAM

  2. Sur la ligne de l'adresse gmail.com de l'utilisateur test, cliquez sur Modifier le compte principal.

  3. Dans le volet qui s'affiche, cliquez sur Supprimer le rôle à côté du rôle Propriétaire.

  4. Cliquez sur Enregistrer.

Libérer de l'espace pour les ressources du détecteur de logiciels malveillants : domaine incorrect

  1. Supprimez l'instance de VM que vous avez créée. Pour obtenir des instructions, consultez Supprimer une instance de VM.
  2. Dissociez ou supprimez la règle de serveur DNS que vous avez créée. Pour obtenir des instructions, consultez Supprimer une règle DNS.

Étapes suivantes