Testa Event Threat Detection

Verifica che Event Threat Detection funzioni attivando intenzionalmente il rilevatore IAM Anomalous Grant o il rilevatore Malware: Bad Domain e controllando i risultati.

Event Threat Detection è un servizio integrato che monitora i flussi di logging di Cloud Logging e Google Workspace della tua organizzazione e rileva le minacce in tempo quasi reale. Per saperne di più, leggi la panoramica di Event Threat Detection.

Prima di iniziare

Per visualizzare i risultati di Event Threat Detection, il servizio deve essere abilitato nelle impostazioni Servizi di Security Command Center.

A seconda del rilevatore che vuoi testare, devi disporre di uno dei seguenti ruoli:

  • IAM Anomalous Grant:un ruolo Identity and Access Management (IAM) con l'autorizzazione resourcemanager.projects.setIamPolicy, come il ruolo Amministratore IAM progetto.
  • Malware: Bad Domain: un ruolo IAM con le autorizzazioni compute.instances.create e dns.policies.create, come il ruolo Editor progetto.

Testare Event Threat Detection

Per testare Event Threat Detection, scegli una delle seguenti opzioni per attivare il servizio:

  • Attiva questo rilevatore concedendo un ruolo sensibile a un account utente di test esterno.
  • Malware: Bad Domain detector. Attiva questo rilevatore eseguendo una query su un dominio di test dannoso da un'istanza VM.

Dopo aver attivato i risultati, visualizzali ed esegui la pulizia:

  • Visualizza il risultato:esamina il risultato in Security Command Center o in Cloud Logging.
  • Liberare spazio:elimina le risorse di test per evitare di lasciare anomalie di sicurezza o di sostenere costi.

Opzione A: rilevatore di concessioni IAM anomale

Per attivare il rilevatore di concessioni anomale IAM, completa i seguenti passaggi:

  1. Creare un utente di test
  2. Attivare il rilevatore Concessione IAM anomala

Creare un utente di test

Per attivare il rilevatore, devi disporre di un utente di test con un indirizzo email gmail.com. Puoi creare un account gmail.com e poi concedergli l'accesso al progetto in cui vuoi eseguire il test. Assicurati che questo account gmail.com non disponga già di autorizzazioni IAM nel progetto in cui esegui il test.

Attivare il rilevatore di concessioni IAM anomale

Attiva il rilevatore di concessioni IAM anomale invitando l'indirizzo email gmail.com al ruolo Proprietario progetto.

  1. Nella console Google Cloud vai alla pagina IAM.

    Vai a IAM

  2. Fai clic su Concedi l'accesso.

  3. Nel campo Nuove entità, inserisci l'indirizzo gmail.com dell'utente di test.

  4. Nell'elenco a discesa Seleziona un ruolo, seleziona Progetto > Proprietario.

  5. Fai clic su Salva.

Opzione B: Malware: Bad Domain detector

Per attivare il rilevatore Malware: Bad Domain, completa i seguenti passaggi:

  1. Crea un'istanza VM e abilita i log di Cloud DNS
  2. Attivare il rilevatore di malware: dominio dannoso

Crea un'istanza VM e abilita i log di Cloud DNS

  1. Crea un'istanza VM su una rete VPC. Per istruzioni, vedi Crea e avvia un'istanza VM. Assicurati che il progetto contenente l'istanza VM sia incluso nell'ambito di Event Threat Detection. ovvero il servizio Event Threat Detection è abilitato per il progetto o la sua organizzazione principale.
  2. Per abilitare la registrazione, configura una policy dei server DNS per la rete VPC:

    1. Nella console Google Cloud , vai alla pagina Cloud DNS.

      Vai a Cloud DNS

    2. Seleziona la scheda Policy dei server DNS.

    3. Fai clic su Crea policy.

    4. Nel campo Nome, inserisci un nome per la policy.

    5. Nella sezione Log, seleziona On (Attivato) per abilitare il logging delle query DNS.

    6. In Reti, seleziona la rete VPC utilizzata dall'istanza VM.

    7. Fai clic su Crea.

Attivare il rilevatore Malware: Bad Domain

  1. Nella console Google Cloud , vai alla pagina Istanze VM.

    Vai a Istanze VM

  2. Nell'elenco delle istanze della macchina virtuale, fai clic su SSH nella riga dell'istanza VM che hai creato. Si apre una finestra del terminale nell'istanza VM.

  3. Esegui questo comando:

    curl etd-malware-trigger.goog
    

Visualizza risultati

Dopo aver attivato i risultati utilizzando l'opzione A o l'opzione B, verifica che i risultati siano generati visualizzandoli in Security Command Center o Cloud Logging.

Per visualizzare i risultati, segui i passaggi per la posizione di visualizzazione selezionata:

Visualizza il risultato in Security Command Center

Per visualizzare il risultato di Event Threat Detection in Security Command Center:

  1. Vai alla pagina Risultati di Security Command Center nella console Google Cloud .

    Vai a Risultati

  2. Nella sezione Categoria del riquadro Filtri rapidi, seleziona la categoria del risultato:

    • Per l'opzione A, seleziona Persistenza: concessione anomala di IAM (fai clic su Visualizza altro, se necessario).
    • Per l'opzione B, seleziona Malware: dominio dannoso (fai clic su Visualizza altro, se necessario).
  3. Per ordinare l'elenco nel riquadro Risultati della query sui risultati, fai clic sull'intestazione di colonna Ora evento in modo che il risultato più recente venga visualizzato per primo.

  4. Nel riquadro Risultati della query sui risultati, visualizza i dettagli del risultato facendo clic sul nome della categoria (Persistenza: concessione anomala IAM o Malware: dominio dannoso) nella colonna Categoria. Si apre il riquadro dei dettagli del risultato e viene visualizzata la scheda Riepilogo.

  5. Verifica i dettagli del risultato:

    • Per IAM anomalous grant, verifica che il valore nella riga Email entità contenga il tuo indirizzo email di test gmail.com.
    • Per Malware: Bad Domain, seleziona la scheda Proprietà sorgente e verifica che la riga Domini contenga etd-malware-trigger.goog.

Se un risultato non viene visualizzato, verifica le impostazioni di Event Threat Detection.

Visualizza il risultato in Cloud Logging

Se hai attivato la registrazione dei risultati in Cloud Logging, puoi visualizzare il risultato lì. La visualizzazione dei risultati di logging in Cloud Logging è disponibile solo se attivi il livello Premium di Security Command Center a livello di organizzazione.

  1. Nella console Google Cloud , vai a Esplora log.

    Vai a Esplora log

  2. Seleziona il progetto Google Cloud in cui memorizzi i log Event Threat Detection.

  3. Utilizza il riquadro Query per eseguire query sui risultati utilizzando uno dei seguenti metodi:

    • Nell'elenco Tutte le risorse, segui questi passaggi:
      1. Seleziona Rilevatore di minacce per visualizzare un elenco di tutti i rilevatori.
      2. In DETECTOR_NAME, seleziona iam_anomalous_grant (per l'opzione A) o bad_domain (per l'opzione B).
      3. Fai clic su Applica.
    • Nell'editor di query, inserisci la seguente query e fai clic su Esegui query:

      resource.type="threat_detector"
      
  4. Per visualizzare il log, fai clic su una riga della tabella e poi su Espandi campi nidificati.

Se non vedi un risultato, verifica le impostazioni di Event Threat Detection.

Esegui la pulizia

Al termine del test, libera spazio dalle risorse per evitare di lasciare anomalie di sicurezza o incorrere in addebiti indesiderati.

Per liberare spazio dalle risorse, segui i passaggi per l'opzione che hai testato:

Esegui la pulizia delle risorse per il rilevatore di concessioni IAM anomale

  1. Nella console Google Cloud vai alla pagina IAM.

    Vai a IAM

  2. Nella riga relativa all'indirizzo gmail.com dell'utente di test, fai clic su Modifica entità.

  3. Nel riquadro visualizzato, fai clic su Elimina ruolo accanto al ruolo Proprietario.

  4. Fai clic su Salva.

Esegui la pulizia delle risorse per Malware: Bad Domain detector

  1. Elimina l'istanza VM che hai creato. Per istruzioni, vedi Eliminare un'istanza VM.
  2. Dissocia o elimina la policy dei server DNS che hai creato. Per istruzioni, vedi Elimina una policy DNS.

Passaggi successivi