測試 Event Threat Detection

如要確認 Event Threat Detection 是否正常運作,請刻意觸發 IAM 異常授權偵測工具或惡意軟體:不良網域偵測工具,並檢查是否有發現結果。

Event Threat Detection 是一項內建服務,可監控貴機構的 Cloud Logging 和 Google Workspace 記錄串流,並近乎即時地偵測威脅。詳情請參閱「Event Threat Detection 總覽」。

事前準備

如要查看 Event Threat Detection 發現項目,必須在 Security Command Center 的「服務」設定中啟用這項服務。

視要測試的偵測工具而定,您必須具備下列其中一個角色:

  • IAM 異常授權:具有 resourcemanager.projects.setIamPolicy 權限的 Identity and Access Management (IAM) 角色,例如專案 IAM 管理員角色。
  • 惡意軟體:不良網域:具有 compute.instances.createdns.policies.create 權限的 IAM 角色,例如專案編輯者角色。

測試 Event Threat Detection

如要測試 Event Threat Detection,請選擇下列其中一個選項來觸發服務:

  • IAM 異常授予偵測工具:將敏感角色授予外部測試使用者帳戶,即可觸發這項偵測工具。
  • 惡意軟體:不良網域偵測工具:從 VM 執行查詢,測試不良網域,即可觸發這項偵測工具。

觸發發現項目後,請查看發現項目並執行清除作業:

選項 A:身分與存取權管理異常授權偵測工具

如要觸發 IAM 異常授權偵測器,請完成下列步驟:

  1. 建立測試使用者
  2. 觸發 IAM 異常授權偵測工具

建立測試使用者

如要觸發偵測器,您需要使用 gmail.com 電子郵件地址的測試使用者。 您可以建立 gmail.com 帳戶,然後授予該帳戶存取權,以便在要執行測試的專案中進行測試。請確認這個 gmail.com 帳戶在您執行測試的專案中,尚未具備任何 IAM 權限。

觸發 IAM 異常授權偵測工具

邀請 gmail.com 電子郵件地址擔任專案擁有者角色,觸發 IAM 異常授予偵測工具。

  1. 前往 Google Cloud 控制台的「IAM」(身分與存取權管理) 頁面。

    前往「IAM」(身分與存取權管理) 頁面

  2. 按一下「授予存取權」

  3. 在「New principals」(新增主體) 欄位中,輸入測試使用者的 gmail.com 地址。

  4. 在「Select a role」(請選擇角色) 下拉式清單中,選取「Project」(專案) >「Owner」(擁有者)

  5. 按一下 [儲存]

方法 B:惡意軟體:無效網域偵測器

如要觸發「惡意軟體:不良網域」偵測器,請完成下列步驟:

  1. 建立 VM 執行個體並啟用 Cloud DNS 記錄
  2. 觸發「惡意軟體:無效網域」偵測器

建立 VM 執行個體並啟用 Cloud DNS 記錄

  1. 在虛擬私有雲網路上建立 VM 執行個體。如需相關操作說明,請參閱建立及啟動 VM 執行個體。確認含有 VM 執行個體的專案在 Event Threat Detection 的適用範圍內。也就是說,專案或上層機構已啟用 Event Threat Detection 服務。
  2. 如要啟用記錄功能,請為虛擬私有雲網路設定 DNS 伺服器政策:

    1. 前往 Google Cloud 控制台的「Cloud DNS」頁面。

      前往 Cloud DNS

    2. 選取「DNS 伺服器政策」分頁標籤。

    3. 點選「建立政策」

    4. 在「Name」(名稱) 欄位中,輸入政策名稱。

    5. 在「記錄」下方,選取「開啟」,啟用 DNS 查詢記錄功能。

    6. 在「網路」下方,選取 VM 執行個體使用的虛擬私有雲網路。

    7. 點選「建立」

觸發「惡意軟體:無效網域」偵測工具

  1. 前往 Google Cloud 控制台的「VM instances」(VM 執行個體) 頁面

    前往 VM 執行個體

  2. 在虛擬機器執行個體清單中,找到您建立的 VM 執行個體,然後在該列中按一下「SSH」SSH。VM 執行個體會開啟終端機視窗。

  3. 執行下列指令:

    curl etd-malware-trigger.goog
    

查看發現項目

使用選項 A 或選項 B 觸發發現項目後,請在 Security Command Center 或 Cloud Logging 中查看發現項目,確認系統已產生發現項目。

如要查看調查結果,請按照所選查看位置的步驟操作:

在 Security Command Center 中查看發現項目

如要在 Security Command Center 中查看 Event Threat Detection 發現項目:

  1. 前往 Google Cloud 控制台的 Security Command Center「發現項目」頁面。

    前往「發現項目」

  2. 在「快速篩選器」面板的「類別」部分,選取以下任一發現項目類別:

    • 如要使用「選項 A」,請選取「持續性:身分與存取權管理異常授權」 (如有需要,請按一下「查看更多」)。
    • 如果是選項 B,請選取「惡意軟體:無效網域」 (必要時請按一下「查看更多」)。
  3. 如要排序「發現項目查詢結果」面板中的清單,請點按「事件時間」欄標題,讓最新的發現項目顯示在最上方。

  4. 在「發現項目查詢結果」面板中,按一下「類別」欄中的類別名稱 (「Persistence: IAM Anomalous Grant」或「Malware: Bad Domain」),即可顯示發現項目的詳細資料。系統會開啟發現項目的詳細資料面板,並顯示「摘要」分頁。

  5. 驗證發現項目的詳細資料:

    • 如果是 IAM 異常授權,請確認「主體電子郵件」列中的值包含您的測試 gmail.com 電子郵件地址。
    • 針對「惡意軟體:無效網域」,選取「來源資源」分頁,並確認「網域」列包含 etd-malware-trigger.goog

如果沒有發現結果,請檢查 Event Threat Detection 設定。

在 Cloud Logging 中查看發現項目

如果您已啟用將發現項目記錄至 Cloud Logging,即可在該處查看發現項目。如要在 Cloud Logging 中查看記錄發現項目,您必須在組織層級啟用 Security Command Center 進階方案。

  1. 前往 Google Cloud 控制台的「Logs Explorer」頁面。

    前往 Logs Explorer

  2. 選取儲存 Event Threat Detection 記錄的專案。 Google Cloud

  3. 使用「查詢」窗格,透過下列任一方法查詢發現項目:

    • 在「所有資源」清單中,執行下列操作:
      1. 選取「威脅偵測工具」,即可顯示所有偵測工具的清單。
      2. 在「DETECTOR_NAME」下方,選取「iam_anomalous_grant」 (適用於選項 A) 或「bad_domain」 (適用於選項 B)。
      3. 按一下「套用」
    • 在查詢編輯器中輸入下列查詢,然後點選「執行查詢」

      resource.type="threat_detector"
      
  4. 如要查看記錄,請按一下表格列,然後點選「展開巢狀欄位」

如果沒有發現結果,請確認 Event Threat Detection 設定。

清除所用資源

測試完畢後,請清理資源,以免留下安全性異常或產生不必要的費用。

如要清理資源,請按照您測試的選項執行下列步驟:

清除 IAM 異常授權偵測工具的資源

  1. 前往 Google Cloud 控制台的「IAM」(身分與存取權管理) 頁面。

    前往「IAM」(身分與存取權管理) 頁面

  2. 在測試使用者 gmail.com 地址的資料列中,按一下 「Edit principal」(編輯主體)

  3. 在隨即顯示的窗格中,按一下「擁有者」角色旁的「刪除角色」

  4. 按一下 [儲存]

清除「惡意軟體:無效網域」偵測器的資源

  1. 刪除您建立的 VM 執行個體。如需操作說明,請參閱「刪除 VM 執行個體」。
  2. 取消關聯或刪除您建立的 DNS 伺服器政策。如需操作說明,請參閱「刪除 DNS 政策」。

後續步驟