כדי לוודא ש-Event Threat Detection פועל, מפעילים בכוונה את הכלי לזיהוי חריגויות במענקי הרשאות ב-IAM ובודקים אם נמצאו ממצאים.
Event Threat Detection הוא שירות מובנה שמנטר את הזרמים של Cloud Logging ושל רישום ביומן של Google Workspace בארגון, ומזהה איומים כמעט בזמן אמת. מידע נוסף זמין במאמר סקירה כללית על Event Threat Detection.
לפני שמתחילים
כדי לראות את הממצאים של Event Threat Detection, צריך להפעיל את השירות בהגדרות Services ב-Security Command Center.
כדי להשלים את המדריך הזה, אתם צריכים תפקיד בממשק לניהול הזהויות והרשאות הגישה (IAM) עם ההרשאה resourcemanager.projects.setIamPolicy, כמו התפקיד Project IAM Admin.
בדיקה של Event Threat Detection
כדי לבדוק את Event Threat Detection, יוצרים חשבון למטרות בדיקה, מעניקים לו הרשאות ואז צופים בממצא במסוף Google Cloud וב-Cloud Logging.
שלב 1: יצירת חשבון למטרות בדיקה
כדי להפעיל את הגלאי, צריך חשבון למטרות בדיקה עם כתובת אימייל ב-gmail.com. אתם יכולים ליצור חשבון gmail.com ואז להעניק לו גישה לפרויקט שבו אתם רוצים לבצע את הבדיקה. מוודאים שלחשבון gmail.com הזה אין כבר הרשאות IAM בפרויקט שבו אתם מבצעים את הבדיקה.
שלב 2: הפעלת הכלי לזיהוי חריגות במתן הרשאות ב-IAM
מפעילים את הכלי לזיהוי הקצאות חריגות ב-IAM על ידי הזמנת כתובת האימייל ב-gmail.com לתפקיד 'בעלי הפרויקט'.
- נכנסים לדף IAM & Admin במסוףGoogle Cloud .
כניסה לדף IAM & ניהול חשבון ארגוני - בדף IAM ואדמין, לוחצים על הוספה.
- בחלון Add principals, בשדה New principals, מזינים את כתובת Gmail של משתמש הבדיקה.
- בקטע Select a role (בחירת תפקיד), בוחרים באפשרות Project > Owner (פרויקט > בעלים).
- לוחצים על Save.
לאחר מכן, מאמתים שגלאי ההענקות החריגות של IAM כתב ממצא.
שלב 3: הצגת הממצא ב-Security Command Center
כדי לראות את הממצא של Event Threat Detection ב-Security Command Center:
נכנסים לדף Findings במסוף Google Cloud של Security Command Center.
בקטע Category בחלונית Quick filters, בוחרים באפשרות Persistence: IAM anomalous grant. במקרה הצורך, לוחצים על הצגת פריטים נוספים כדי למצוא אותה. החלונית Findings query results מתעדכנת כך שמוצגת בה רק הקטגוריה שנבחרה.
כדי למיין את הרשימה בחלונית תוצאות השאילתה של הממצאים, לוחצים על כותרת העמודה זמן האירוע כך שהממצא האחרון יוצג ראשון.
בחלונית Findings query results (תוצאות של שאילתות לגבי ממצאים), לוחצים על Persistence: IAM Anomalous Grant (התמדה: הענקת הרשאות חריגה ב-IAM) בעמודה Category (קטגוריה) כדי להציג את פרטי הממצא. חלונית הפרטים של הממצא תיפתח ותציג את הכרטיסייה סיכום.
בודקים את הערך בשורה Principal email (כתובת האימייל של המנהל/ת). זו צריכה להיות כתובת האימייל test@gmail.com שהענקתם לה בעלות.
אם לא מופיע ממצא שתואם לחשבון הבדיקה שלכם ב-gmail.com, צריך לאמת את ההגדרות של Event Threat Detection.
שלב 4: צפייה בממצא ב-Cloud Logging
אם הפעלתם את האפשרות לרישום הממצאים ב-Cloud Logging, תוכלו לראות את הממצא שם. אפשר לראות את הממצאים של יומני הרישום ב-Cloud Logging רק אם מפעילים את Security Command Center Premium ברמת הארגון.
נכנסים אל Logs Explorer במסוף Google Cloud .
בוחרים את Google Cloud הפרויקט שבו מאוחסנים היומנים של Event Threat Detection.
משתמשים בחלונית Query כדי ליצור את השאילתה באחת מהדרכים הבאות:
- ברשימה All resources (כל המשאבים), מבצעים את הפעולות הבאות:
- בוחרים באפשרות גלאי איומים כדי להציג רשימה של כל הגלאים.
- בקטע DETECTOR_NAME, בוחרים באפשרות iam_anomalous_grant.
- לוחצים על אישור. הטבלה Query results מתעדכנת עם היומנים שבחרתם.
מזינים את השאילתה הבאה בעורך השאילתות ולוחצים על Run query:
resource.type="threat_detector"
הטבלה Query results מתעדכנת עם היומנים שבחרתם.
- ברשימה All resources (כל המשאבים), מבצעים את הפעולות הבאות:
כדי לראות יומן, לוחצים על שורה בטבלה ואז על הרחבת שדות מקוננים.
אם לא מוצאים ממצא לגבי כלל IAM Anomalous Grant, צריך לאמת את ההגדרות של Event Threat Detection.
הסרת המשאבים
אחרי שמסיימים את הבדיקה, מסירים את חשבון למטרות בדיקה מהפרויקט.
- נכנסים לדף IAM & Admin במסוףGoogle Cloud .
כניסה לדף IAM & ניהול חשבון ארגוני - לצד כתובת Gmail של משתמש הבדיקה, לוחצים על עריכה.
- בחלונית עריכת הרשאות שמופיעה, לוחצים על מחיקה לכל התפקידים שהוקצו למשתמש הבדיקה.
- לוחצים על Save.
המאמרים הבאים
- מידע נוסף על שימוש ב-Event Threat Detection
- סקירה כללית של המושגים בנושא Event Threat Detection
- איך לחקור איומים ולפתח תוכניות תגובה