Verifique se a Deteção de ameaças de eventos está a funcionar acionando intencionalmente o detetor de concessão anómala do IAM e verificando se existem resultados.
A Deteção de ameaças de eventos é um serviço integrado que monitoriza as streams de registo do Cloud Logging e do Google Workspace da sua organização e deteta ameaças em tempo quase real. Para saber mais, leia o artigo Vista geral da Deteção de ameaças de eventos.
Antes de começar
Para ver as conclusões da Deteção de ameaças de eventos, o serviço tem de estar ativado nas definições de Serviços do Security Command Center.
Para concluir este guia, tem de ter uma função de gestão de identidade e acesso (IAM) com a autorização resourcemanager.projects.setIamPolicy, como a função de administrador de IAM do projeto.
Testar a deteção de ameaças de eventos
Para testar a Deteção de ameaças de eventos, crie um utilizador de teste, conceda autorizações e, em seguida, veja a descoberta na Google Cloud consola e no Cloud Logging.
Passo 1: criar um utilizador de teste
Para acionar o detetor, precisa de um utilizador de teste com um endereço de email do gmail.com. Pode criar uma conta do gmail.com e, em seguida, conceder-lhe acesso ao projeto onde quer realizar o teste. Certifique-se de que esta conta do gmail.com não tem já autorizações da IAM no projeto onde está a realizar o teste.
Passo 2: acionar o detetor de concessões anómalas do IAM
Acione o detetor de concessões anómalas de IAM convidando o endereço de email do gmail.com para a função de proprietário do projeto.
- Aceda à página IAM e administração na
Google Cloud consola.
Aceda à página IAM e administrador - Na página IAM e administrador, clique em Adicionar.
- Na janela Adicionar membros, em Novos membros, introduza o endereço gmail.com do utilizador de teste.
- Em Selecionar uma função, selecione Projeto > Proprietário.
- Clique em Guardar.
Em seguida, verifique se o detetor de concessões anómalas do IAM escreveu uma descoberta.
Passo 3: ver a deteção no Security Command Center
Para ver a deteção de ameaças de eventos no Security Command Center:
Aceda à página Resultados do Security Command Center na Google Cloud consola.
Na secção Categoria do painel Filtros rápidos, selecione Persistência: concessão anómala de IAM. Se necessário, clique em Ver mais para o encontrar. O painel Resultados da consulta de descobertas é atualizado para mostrar apenas a categoria de descoberta selecionada.
Para ordenar a lista no painel Resultados da consulta de conclusões, clique no cabeçalho da coluna Hora do evento para que a conclusão mais recente seja apresentada primeiro.
No painel Resultados da consulta de conclusões, apresente os detalhes da conclusão clicando em Persistência: concessão anómala do IAM na coluna Categoria. O painel de detalhes da descoberta é aberto e apresenta o separador Resumo.
Verifique o valor na linha Email principal. Deve ser o endereço de email test@gmail.com ao qual concedeu a propriedade.
Se não for apresentada nenhuma descoberta que corresponda à sua conta de teste do gmail.com, verifique as definições de deteção de ameaças de eventos.
Passo 4: ver a descoberta nos Registos na nuvem
Se ativou o registo de resultados no Cloud Logging, pode ver o resultado aí. A visualização de resultados de registo no Cloud Logging só está disponível se ativar o nível Premium do Security Command Center ao nível da organização.
Aceda ao Explorador de registos na Google Cloud consola.
Selecione o Google Cloud projeto onde está a armazenar os registos de deteção de ameaças de eventos.
Use o painel Consulta para criar a consulta de uma das seguintes formas:
- Na lista Todos os recursos, faça o seguinte:
- Selecione Detector de ameaças para apresentar uma lista de todos os detetores.
- Em DETECTOR_NAME, selecione iam_anomalous_grant.
- Clique em Aplicar. A tabela Resultados da consulta é atualizada com os registos que selecionou.
Introduza a seguinte consulta no editor de consultas e clique em Executar consulta:
resource.type="threat_detector"
A tabela Resultados da consulta é atualizada com os registos que selecionou.
- Na lista Todos os recursos, faça o seguinte:
Para ver um registo, clique numa linha da tabela e, de seguida, clique em Expandir campos aninhados.
Se não vir um resultado para a regra de concessão anómala do IAM, verifique as definições de deteção de ameaças de eventos.
Limpar
Quando terminar os testes, remova o utilizador de teste do projeto.
- Aceda à página IAM e administração na
Google Cloud consola.
Aceda à página IAM e administrador - Junto ao endereço gmail.com do utilizador de teste, clique em Editar.
- No painel Editar autorizações apresentado, clique em Eliminar para todas as funções concedidas ao utilizador de teste.
- Clique em Guardar.
O que se segue?
- Saiba mais sobre a utilização da Deteção de ameaças de eventos.
- Leia uma vista geral de alto nível dos conceitos de deteção de ameaças de eventos.
- Saiba como investigar e desenvolver planos de resposta para ameaças.