Menguji Event Threat Detection

Pastikan Event Threat Detection berfungsi dengan memicu pendeteksi IAM Anomalous Grant atau Malware: Bad Domain secara sengaja, lalu memeriksa temuan.

Event Threat Detection adalah layanan bawaan yang memantau aliran logging Cloud Logging dan Google Workspace organisasi Anda serta mendeteksi ancaman secara hampir real time. Untuk mempelajari lebih lanjut, baca Ringkasan Event Threat Detection.

Sebelum memulai

Untuk melihat temuan Event Threat Detection, layanan ini harus diaktifkan di Security Command Center Layanan setelan.

Bergantung pada pendeteksi yang ingin Anda uji, Anda harus memiliki salah satu peran berikut:

  • IAM Anomalous Grant: Peran Identity and Access Management (IAM) dengan izin resourcemanager.projects.setIamPolicy, seperti peran Project IAM Admin.
  • Malware: Bad Domain: Peran IAM dengan izin compute.instances.create dan dns.policies.create, seperti peran Project Editor.

Menguji Event Threat Detection

Untuk menguji Event Threat Detection, pilih salah satu opsi berikut untuk memicu layanan:

  • Pendeteksi IAM Anomalous Grant Picu pendeteksi ini dengan memberikan peran sensitif ke akun pengguna pengujian eksternal.
  • Pendeteksi Malware: Bad Domain Picu pendeteksi ini dengan menjalankan kueri ke domain buruk pengujian dari instance VM.

Setelah memicu temuan, lihat temuan dan lakukan pembersihan:

  • Lihat temuan: Periksa temuan di Security Command Center atau di Cloud Logging.
  • Pembersihan: Hapus resource pengujian untuk menghindari anomali keamanan atau biaya yang tidak diinginkan.

Opsi A: Pendeteksi IAM Anomalous Grant

Untuk memicu pendeteksi IAM Anomalous Grant, selesaikan langkah-langkah berikut:

  1. Buat pengguna pengujian
  2. Picu pendeteksi IAM Anomalous Grant

Buat pengguna pengujian

Untuk memicu pendeteksi, Anda memerlukan pengguna pengujian dengan alamat email gmail.com. Anda dapat membuat akun gmail.com, lalu memberikan akses ke project tempat Anda ingin melakukan pengujian. Pastikan akun gmail.com ini belum memiliki izin IAM apa pun di project tempat Anda melakukan pengujian.

Picu pendeteksi IAM Anomalous Grant

Picu pendeteksi IAM Anomalous Grant dengan mengundang alamat email gmail.com ke peran Project Owner.

  1. Di Google Cloud konsol, buka halaman IAM.

    Buka IAM

  2. Klik Grant access.

  3. Di kolom New principals, masukkan alamat gmail.com pengguna pengujian.

  4. Di daftar drop-down Select a role, pilih Project > Owner.

  5. Klik Save.

Opsi B: Pendeteksi Malware: Bad Domain

Untuk memicu pendeteksi Malware: Bad Domain, selesaikan langkah-langkah berikut:

  1. Buat instance VM dan aktifkan log Cloud DNS
  2. Picu pendeteksi Malware: Bad Domain

Buat instance VM dan aktifkan log Cloud DNS

  1. Buat instance VM di jaringan VPC. Untuk mengetahui petunjuknya, lihat Membuat dan memulai instance VM. Pastikan project yang berisi instance VM berada dalam cakupan Event Threat Detection. Artinya, layanan Event Threat Detection diaktifkan untuk project atau organisasi induknya.
  2. Untuk mengaktifkan logging, konfigurasikan kebijakan server DNS untuk jaringan VPC:

    1. Di Google Cloud konsol, buka halaman Cloud DNS.

      Buka Cloud DNS

    2. Pilih tab kebijakan server DNS.

    3. Klik Create policy.

    4. Di kolom Name, masukkan nama untuk kebijakan.

    5. Di bagian Logs, pilih On untuk mengaktifkan logging kueri DNS.

    6. Di bagian Networks, pilih jaringan VPC yang digunakan instance VM Anda.

    7. Klik Create.

Picu pendeteksi Malware: Bad Domain

  1. Di Google Cloud konsol, buka halaman VM instances.

    Buka instance VM

  2. Dalam daftar instance mesin virtual, klik SSH di baris instance VM yang Anda buat. Jendela terminal akan terbuka di instance VM Anda.

  3. Jalankan perintah berikut:

    curl etd-malware-trigger.goog
    

Lihat temuan

Setelah memicu temuan menggunakan Opsi A atau Opsi B, pastikan temuan dibuat dengan melihatnya di Security Command Center atau Cloud Logging.

Untuk melihat temuan, ikuti langkah-langkah untuk lokasi tampilan yang Anda pilih:

Lihat temuan di Security Command Center

Untuk melihat temuan Event Threat Detection di Security Command Center:

  1. Buka halaman Findings Security Command Center di Google Cloud konsol.

    Buka Temuan

  2. Di bagian Category panel Quick filters, pilih kategori temuan:

    • Untuk Opsi A, pilih Persistence: IAM anomalous grant (klik View more jika perlu).
    • Untuk Opsi B, pilih Malware: Bad Domain (klik View more jika perlu).
  3. Untuk mengurutkan daftar di panel Findings query results, klik header kolom Event time sehingga temuan terbaru ditampilkan terlebih dahulu.

  4. Di panel Findings query results, tampilkan detail temuan dengan mengklik nama kategori (Persistence: IAM Anomalous Grant atau Malware: Bad Domain) di kolom Category. Panel detail untuk temuan akan terbuka dan menampilkan tab Summary.

  5. Verifikasi detail temuan:

    • Untuk IAM anomalous grant, periksa apakah nilai di baris Principal email berisi alamat email gmail.com pengujian Anda.
    • Untuk Malware: Bad Domain, pilih tab Source properties dan periksa apakah baris Domains berisi etd-malware-trigger.goog.

Jika temuan tidak muncul, verifikasi setelan Event Threat Detection Anda.

Lihat temuan di Cloud Logging

Jika mengaktifkan temuan logging ke Cloud Logging, Anda dapat melihat temuan di sana. Melihat temuan logging di Cloud Logging hanya tersedia jika Anda mengaktifkan Security Command Center Premium di tingkat organisasi.

  1. Di Google Cloud konsol, buka Logs Explorer.

    Buka Logs Explorer

  2. Pilih Google Cloud project tempat Anda menyimpan log Event Threat Detection.

  3. Gunakan panel Query untuk membuat kueri temuan menggunakan salah satu metode berikut:

    • Di daftar All resources, lakukan hal berikut:
      1. Pilih Threat Detector untuk menampilkan daftar semua pendeteksi.
      2. Di bagian DETECTOR_NAME, pilih iam_anomalous_grant (untuk Opsi A) atau bad_domain (untuk Opsi B).
      3. Klik Apply.
    • Di editor kueri, masukkan kueri berikut, lalu klik Run query:

      resource.type="threat_detector"
      
  4. Untuk melihat log, klik baris tabel, lalu klik Expand nested fields.

Jika Anda tidak melihat temuan, verifikasi setelan Event Threat Detection Anda.

Pembersihan

Setelah selesai menguji, bersihkan resource untuk menghindari anomali keamanan atau biaya yang tidak diinginkan.

Untuk membersihkan resource, ikuti langkah-langkah untuk opsi yang Anda uji:

Membersihkan resource untuk pendeteksi IAM Anomalous Grant

  1. Di Google Cloud konsol, buka halaman IAM.

    Buka IAM

  2. Di baris untuk alamat gmail.com pengguna pengujian, klik Edit principal.

  3. Di panel yang muncul, klik Delete role di samping peran Owner.

  4. Klik Save.

Membersihkan resource untuk pendeteksi Malware: Bad Domain

  1. Hapus instance VM yang Anda buat. Untuk mengetahui petunjuknya, lihat Menghapus instance VM.
  2. Batalkan atau hapus kebijakan server DNS yang Anda buat. Untuk mengetahui petunjuknya, lihat Menghapus kebijakan DNS.

Langkah berikutnya