Event Threat Detection testen

Prüfen Sie, ob Event Threat Detection funktioniert, indem Sie absichtlich den IAM-Detektor „Anomalous Grant“ oder den Detektor „Malware: Bad Domain“ auslösen und nach Ergebnissen suchen.

Event Threat Detection ist ein integrierter Dienst, der die Logging-Streams von Cloud Logging und Google Workspace Ihrer Organisation überwacht und Bedrohungen nahezu in Echtzeit erkennt. Weitere Informationen finden Sie unter Event Threat Detection – Übersicht.

Hinweis

Damit Ergebnisse von Event Threat Detection angezeigt werden können, muss der Dienst in den Services-Einstellungen von Security Command Center aktiviert sein.

Je nachdem, welchen Detektor Sie testen möchten, benötigen Sie eine der folgenden Rollen:

  • IAM Anomalous Grant: Eine IAM-Rolle (Identity and Access Management) mit der Berechtigung resourcemanager.projects.setIamPolicy, z. B. die Rolle „Projekt-IAM-Administrator“.
  • Malware: Bad Domain:Eine IAM-Rolle mit den Berechtigungen compute.instances.create und dns.policies.create, z. B. die Rolle „Projektbearbeiter“.

Event Threat Detection testen

Wählen Sie eine der folgenden Optionen aus, um Event Threat Detection zu testen:

  • IAM Anomalous Grant-Detektor: Lösen Sie diesen Detektor aus, indem Sie einem externen Testnutzerkonto eine vertrauliche Rolle zuweisen.
  • Malware: Bad Domain detector (Malware: Detektor für schädliche Domains): Lösen Sie diesen Detektor aus, indem Sie eine Anfrage an eine schädliche Testdomain von einer VM-Instanz aus senden.

Nachdem Sie Ergebnisse ausgelöst haben, können Sie sie ansehen und bereinigen:

  • Ergebnis ansehen:Untersuchen Sie das Ergebnis im Security Command Center oder in Cloud Logging.
  • Bereinigen:Löschen Sie die Testressourcen, um Sicherheitsanomalien zu vermeiden und Kosten zu senken.

Option A: IAM Anomalous Grant-Detektor

Führen Sie die folgenden Schritte aus, um den IAM Anomalous Grant-Detektor auszulösen:

  1. Testnutzer erstellen
  2. IAM Anomalous Grant-Detektor auslösen

Testnutzer erstellen

Um den Detektor auszulösen, benötigen Sie einen Testnutzer mit einer E-Mail-Adresse von gmail.com. Sie können ein gmail.com-Konto erstellen und diesem dann Zugriff auf das Projekt gewähren, in dem Sie den Test durchführen möchten. Achten Sie darauf, dass dieses gmail.com-Konto noch keine IAM-Berechtigungen für das Projekt hat, in dem Sie den Test durchführen.

IAM Anomalous Grant-Detektor auslösen

Lösen Sie den IAM Anomalie-Grants-Detektor aus, indem Sie die gmail.com-E-Mail-Adresse zur Rolle „Project Owner“ einladen.

  1. Rufen Sie in der Google Cloud Console die Seite IAM auf.

    IAM aufrufen

  2. Klicken Sie auf Zugriff erlauben.

  3. Geben Sie im Feld Neue Hauptkonten die gmail.com-Adresse des Testnutzers ein.

  4. Wählen Sie in der Drop-down-Liste Rolle auswählen die Option Projekt > Inhaber aus.

  5. Klicken Sie auf Speichern.

Option B: „Malware: Bad Domain“-Erkennung

Führen Sie die folgenden Schritte aus, um den Detector „Malware: Bad Domain“ auszulösen:

  1. VM-Instanz erstellen und Cloud DNS-Logs aktivieren
  2. Malware: Bad Domain-Erkennung auslösen

VM-Instanz erstellen und Cloud DNS-Logs aktivieren

  1. Erstellen Sie eine VM-Instanz in einem VPC-Netzwerk. Eine Anleitung finden Sie unter VM-Instanz erstellen und starten. Achten Sie darauf, dass das Projekt, das die VM-Instanz enthält, im Umfang von Event Threat Detection enthalten ist. Das bedeutet, dass der Event Threat Detection-Dienst für das Projekt oder die übergeordnete Organisation aktiviert ist.
  2. Um das Logging zu aktivieren, konfigurieren Sie eine DNS-Serverrichtlinie für das VPC-Netzwerk:

    1. Rufen Sie in der Google Cloud Console die Seite Cloud DNS auf.

      Cloud DNS aufrufen

    2. Wählen Sie den Tab DNS-Serverrichtlinien aus.

    3. Klicken Sie auf Richtlinie erstellen.

    4. Geben Sie im Feld Name einen Namen für die Richtlinie ein.

    5. Wählen Sie unter Logs die Option Ein aus, um das Logging von DNS-Abfragen zu aktivieren.

    6. Wählen Sie unter Netzwerke das VPC-Netzwerk aus, das von Ihrer VM-Instanz verwendet wird.

    7. Klicken Sie auf Erstellen.

Detektor „Malware: Schädliche Domain“ auslösen

  1. Rufen Sie in der Google Cloud Console die Seite VM-Instanzen auf:

    Zur Seite „VM-Instanzen“

  2. Klicken Sie in der Liste der VM-Instanzen in der Zeile der von Ihnen erstellten VM-Instanz auf SSH. Ein Terminalfenster wird auf Ihrer VM-Instanz geöffnet.

  3. Führen Sie dazu diesen Befehl aus:

    curl etd-malware-trigger.goog
    

Ergebnisse anzeigen

Nachdem Sie Ergebnisse mit Option A oder Option B ausgelöst haben, prüfen Sie, ob die Ergebnisse generiert wurden, indem Sie sie im Security Command Center oder in Cloud Logging ansehen.

So rufen Sie die Ergebnisse auf:

Ergebnis in Security Command Center ansehen

So rufen Sie das Event Threat Detection-Ergebnis in Security Command Center auf:

  1. Rufen Sie in der Google Cloud Console die Seite Ergebnisse des Security Command Center auf.

    Zu Ergebnissen

  2. Wählen Sie im Bereich Schnellfilter im Abschnitt Kategorie die Kategorie für die Ergebnisse aus:

    • Wählen Sie für Option A die Option Persistenz: Anomale IAM-Gewährung aus (klicken Sie bei Bedarf auf Mehr anzeigen).
    • Wählen Sie für Option B Malware: Ungültige Domain aus (klicken Sie bei Bedarf auf Mehr anzeigen).
  3. Wenn Sie die Liste im Bereich Ergebnisse der Ergebnisabfrage sortieren möchten, klicken Sie auf die Spaltenüberschrift Ereigniszeit, damit das neueste Ergebnis zuerst angezeigt wird.

  4. Klicken Sie im Bereich Ergebnisse der Ergebnisabfrage in der Spalte Kategorie auf den Kategorienamen (Persistenz: Anomale IAM-Gewährung oder Malware: Schlechte Domain), um die Details des Ergebnisses aufzurufen. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.

  5. Prüfen Sie die Details des Ergebnisses:

    • Prüfen Sie für IAM anomalous grant (Anomalie bei IAM-Zuweisung), ob der Wert in der Zeile Principal email (E-Mail-Adresse des Hauptkontos) Ihre Test-E-Mail-Adresse von gmail.com enthält.
    • Wählen Sie für Malware: Ungültige Domain den Tab Quell-Properties aus und prüfen Sie, ob die Zeile Domains etd-malware-trigger.goog enthält.

Wenn kein Ergebnis angezeigt wird, prüfen Sie Ihre Einstellungen für Event Threat Detection.

Ergebnis in Cloud Logging ansehen

Wenn Sie Logging-Ergebnisse in Cloud Logging aktiviert haben, können Sie sich die Ergebnisse dort ansehen. Das Ansehen von Logging-Ergebnissen in Cloud Logging ist nur möglich, wenn Sie Security Command Center Premium auf Organisationsebene aktivieren.

  1. Rufen Sie in der Google Cloud Console den Log-Explorer auf.

    Zum Log-Explorer

  2. Wählen Sie das Google Cloud -Projekt aus, in dem Sie Ihre Event Threat Detection-Logs speichern.

  3. Verwenden Sie den Bereich Abfrage, um Ergebnisse mit einer der folgenden Methoden abzufragen:

    • Gehen Sie in der Liste Alle Ressourcen so vor:
      1. Wählen Sie Threat Detector aus, um eine Liste aller Detektoren aufzurufen.
      2. Wählen Sie unter DETECTOR_NAME die Option iam_anomalous_grant (für Option A) oder bad_domain (für Option B) aus.
      3. Klicken Sie auf Übernehmen.
    • Geben Sie im Abfrageeditor die folgende Abfrage ein und klicken Sie auf Abfrage ausführen:

      resource.type="threat_detector"
      
  4. Zum Aufrufen des Logs klicken Sie auf eine Tabellenzeile und dann auf Verschachtelte Felder erweitern.

Wenn Sie kein Ergebnis sehen, prüfen Sie Ihre Einstellungen für Event Threat Detection.

Bereinigen

Wenn Sie mit dem Testen fertig sind, bereinigen Sie die Ressourcen, um Sicherheitsanomalien zu vermeiden und unerwünschte Kosten zu vermeiden.

So bereinigen Sie Ressourcen:

Ressourcen für den IAM Anomalous Grant-Detektor bereinigen

  1. Rufen Sie in der Google Cloud Console die Seite IAM auf.

    IAM aufrufen

  2. Klicken Sie in der Zeile für die Gmail-Adresse des Testnutzers auf  Hauptkonto bearbeiten.

  3. Klicken Sie im angezeigten Bereich neben der Rolle Inhaber auf  Rolle löschen.

  4. Klicken Sie auf Speichern.

Ressourcen für den Detector „Malware: Bad Domain“ bereinigen

  1. Löschen Sie die von Ihnen erstellte VM-Instanz. Eine Anleitung finden Sie unter VM-Instanz löschen.
  2. Heben Sie die Zuordnung der von Ihnen erstellten DNS-Serverrichtlinie auf oder löschen Sie sie. Eine Anleitung finden Sie unter DNS-Richtlinie löschen.

Nächste Schritte